01 村鎮(zhèn)銀行事件背景

　　2022年7月10日許昌市公安局的警情通報(bào)：“…2011年以來(lái)，以犯罪嫌疑人呂奕為首的犯罪團(tuán)伙通過(guò)河南新財(cái)富集團(tuán)等公司，以關(guān)聯(lián)持股、交叉持股、增資擴(kuò)股、操控銀行高管等手段，實(shí)際控制禹州新民生等幾家村鎮(zhèn)銀行，利用第三方互聯(lián)網(wǎng)金融平臺(tái)和該犯罪團(tuán)伙設(shè)立的君正智達(dá)科技有限公司開(kāi)發(fā)的自營(yíng)平臺(tái)及一批資金掮客進(jìn)行攬儲(chǔ)和推銷(xiāo)金融產(chǎn)品，以虛構(gòu)貸款等方式非法轉(zhuǎn)移資金，專(zhuān)門(mén)設(shè)立宸鈺信息技術(shù)有限公司刪改數(shù)據(jù)、屏蔽瞞報(bào)…”

　　2022年7月18日據(jù)中國(guó)銀行保險(xiǎn)報(bào)報(bào)道，公安機(jī)關(guān)已初步查明河南安徽5家村鎮(zhèn)銀行案件主要事實(shí)，河南新財(cái)富集團(tuán)操縱河南、安徽5家村鎮(zhèn)銀行，通過(guò)內(nèi)外勾結(jié)、利用第三方平臺(tái)以及資金掮客等方式非法吸收并占有公眾資金，篡改原始業(yè)務(wù)數(shù)據(jù)，掩蓋非法行為。該案件中村鎮(zhèn)銀行通過(guò)三方平臺(tái)以及微信小程序，大量異地?cái)垉?chǔ)，資金高達(dá)400億元，其中線(xiàn)上攬儲(chǔ)約300億，而線(xiàn)下儲(chǔ)戶(hù)資金有100億。

　　從這次銀行事件的初步調(diào)查結(jié)果來(lái)看，其發(fā)生的根源是由于這幾家村鎮(zhèn)銀行高管股東互相勾結(jié)，用符合銀保監(jiān)規(guī)定的流程手續(xù)，做了一套假的系統(tǒng)，跟第三方公司搞了個(gè)不入真賬的平臺(tái)，以達(dá)到非法吸收并占有公眾資金的目的。本次事件中涉事的儲(chǔ)戶(hù)之多，金額之大，都是前所未有的，引起了社會(huì)各界的震動(dòng)和對(duì)村鎮(zhèn)銀行金融安全的思考。

　　此次事件不僅暴露了銀行內(nèi)部管理及外部監(jiān)管等方面的巨大漏洞，而且金融科技管理方面的缺陷也對(duì)此事件發(fā)展起到了推波助瀾的作用。本文從村鎮(zhèn)銀行的金融科技安全的角度來(lái)看村鎮(zhèn)銀行如何來(lái)進(jìn)行金融科技風(fēng)險(xiǎn)管理。

　　02 村鎮(zhèn)銀行金融科技的發(fā)展現(xiàn)狀

　　村鎮(zhèn)銀行是在農(nóng)村地區(qū)設(shè)立的主要為當(dāng)?shù)剞r(nóng)民、農(nóng)業(yè)和農(nóng)村經(jīng)濟(jì)發(fā)展提供金融服務(wù)的銀行業(yè)金融機(jī)構(gòu)，近幾年村鎮(zhèn)銀行在國(guó)家的鼓勵(lì)下快速發(fā)展，有效地填補(bǔ)了農(nóng)村地區(qū)金融服務(wù)的空白，增加了農(nóng)村地區(qū)的金融支持力度，并在互聯(lián)網(wǎng)、大數(shù)據(jù)等新技術(shù)下在互聯(lián)網(wǎng)發(fā)展背景下不斷擴(kuò)大業(yè)務(wù)規(guī)模和豐富業(yè)務(wù)內(nèi)容。

　　2.1 中國(guó)村鎮(zhèn)銀行發(fā)展背景

　　2006年，為解決農(nóng)村地區(qū)銀行業(yè)金融機(jī)構(gòu)網(wǎng)點(diǎn)覆蓋率低、金融供給不足、競(jìng)爭(zhēng)不充分等問(wèn)題，銀監(jiān)會(huì)放寬了農(nóng)村銀行業(yè)金融機(jī)構(gòu)的準(zhǔn)入政策，2006年12月發(fā)布了《中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)關(guān)于調(diào)整放寬農(nóng)村地區(qū)銀行業(yè)金融機(jī)構(gòu)準(zhǔn)入政策更好支持社會(huì)主義新農(nóng)村建設(shè)的若干意見(jiàn)》，內(nèi)容包括調(diào)整放寬農(nóng)村地區(qū)銀行業(yè)金融機(jī)構(gòu)準(zhǔn)入政策，鼓勵(lì)在縣（市）設(shè)立村鎮(zhèn)銀行。

　　國(guó)內(nèi)村鎮(zhèn)銀行試點(diǎn)在2006年12月啟動(dòng)，2007年3月首批村鎮(zhèn)銀行在國(guó)內(nèi)6個(gè)首批試點(diǎn)省誕生。銀保監(jiān)會(huì)數(shù)據(jù)顯示，截至（2020年6月30日），全國(guó)已組建1633家村鎮(zhèn)銀行，截至2021年末，我國(guó)村鎮(zhèn)銀行法人機(jī)構(gòu)數(shù)量達(dá)到1649家，占全國(guó)銀行業(yè)金融機(jī)構(gòu)總數(shù)的36%左右。

　　村鎮(zhèn)銀行的發(fā)展促進(jìn)了農(nóng)村地區(qū)形成投資多元、種類(lèi)多樣的銀行業(yè)金融服務(wù)體系，更好地改進(jìn)和加強(qiáng)農(nóng)村金融服務(wù)。村鎮(zhèn)銀行為我國(guó)縣域經(jīng)濟(jì)的發(fā)展貢獻(xiàn)了重要的力量，是我國(guó)農(nóng)村金融的重要參與者之一。

　　2.2 村鎮(zhèn)銀行的信息化建設(shè)現(xiàn)狀

　　村鎮(zhèn)銀行當(dāng)前的信息化建設(shè)在一定程度上支撐了目前的業(yè)務(wù)發(fā)展，但依然存在以下突出問(wèn)題：系統(tǒng)功能簡(jiǎn)單，外購(gòu)系統(tǒng)無(wú)自主開(kāi)發(fā)權(quán)，業(yè)務(wù)發(fā)展受限；科技力量薄弱，系統(tǒng)運(yùn)維管理不規(guī)范，出現(xiàn)系統(tǒng)問(wèn)題由外部公司技術(shù)人員遠(yuǎn)程支持；業(yè)務(wù)數(shù)據(jù)管理不規(guī)范，應(yīng)急災(zāi)備與業(yè)務(wù)連續(xù)性管理普通缺失；風(fēng)險(xiǎn)管控薄弱，存在很大安全隱患，很多業(yè)務(wù)相關(guān)數(shù)據(jù)不能在線(xiàn)監(jiān)測(cè)，不利于管理行和監(jiān)管部門(mén)及時(shí)準(zhǔn)確地掌握其實(shí)際經(jīng)營(yíng)情況等。

　　與國(guó)有商業(yè)銀行和股份制商業(yè)銀行相比，信息科技資金投入有限，科技人才力量薄弱，自主開(kāi)發(fā)與運(yùn)維能力不足，已成為村鎮(zhèn)銀行信息化建設(shè)面臨的最突出問(wèn)題，也埋下了諸多科技風(fēng)險(xiǎn)的隱患。

　　2.3 村鎮(zhèn)銀行面臨新技術(shù)新業(yè)務(wù)的挑戰(zhàn)

　　隨著金融信息化的成長(zhǎng)與發(fā)展，金融科技為傳統(tǒng)金融帶來(lái)了新思路、新動(dòng)力，引起了傳統(tǒng)金融經(jīng)營(yíng)模式、盈利模式、服務(wù)模式等變化。金融科技同樣也給村鎮(zhèn)銀行的業(yè)務(wù)創(chuàng)新帶來(lái)了“彎道超車(chē)”的機(jī)會(huì)。例如，村鎮(zhèn)銀行可以利用互聯(lián)網(wǎng)渠道拓展業(yè)務(wù)，降低運(yùn)營(yíng)成本。村鎮(zhèn)銀行利用金融科技轉(zhuǎn)型的形式主要包括直銷(xiāo)銀行、網(wǎng)上銀行、第三方平臺(tái)、公眾號(hào)、小程序等。

　　相較于國(guó)有行和股份行在金融科技領(lǐng)域的大手筆投入，絕大部分村鎮(zhèn)銀行受資本、人才和業(yè)務(wù)規(guī)模的限制，難以獨(dú)立研發(fā)適用的金融科技系統(tǒng)，即便是購(gòu)買(mǎi)了現(xiàn)成的創(chuàng)新類(lèi)應(yīng)用系統(tǒng)，由于缺乏相關(guān)金融科技人才，也很難高效地利用起來(lái)。因此，村鎮(zhèn)銀行在本身信息科技能力先天不足的情況下，又要面對(duì)同業(yè)在金融科技領(lǐng)域的競(jìng)爭(zhēng)，被迫面臨許多新的挑戰(zhàn)與風(fēng)險(xiǎn)。

　　03 村鎮(zhèn)銀行面臨的金融科技風(fēng)險(xiǎn)

　　據(jù)央行統(tǒng)計(jì)，截至2021年第二季度，共有122家村鎮(zhèn)銀行為高風(fēng)險(xiǎn)機(jī)構(gòu)，占全部高風(fēng)險(xiǎn)機(jī)構(gòu)的29%左右。村鎮(zhèn)銀行的金融科技風(fēng)險(xiǎn)包括自身固有風(fēng)險(xiǎn)和常見(jiàn)信息科技風(fēng)險(xiǎn)。

　　3.1 村鎮(zhèn)銀行自身固有風(fēng)險(xiǎn)

　　村鎮(zhèn)銀行由于其自身的特點(diǎn)，容易導(dǎo)致由于門(mén)檻較低帶來(lái)的準(zhǔn)入風(fēng)險(xiǎn)，由互聯(lián)網(wǎng)平臺(tái)合作帶來(lái)的業(yè)務(wù)安全風(fēng)險(xiǎn)，以及由于外包帶來(lái)的IT外包安全風(fēng)險(xiǎn)等固有風(fēng)險(xiǎn)。

　　村鎮(zhèn)銀行門(mén)檻較低帶來(lái)的準(zhǔn)入風(fēng)險(xiǎn)

　　2007年中國(guó)銀行業(yè)監(jiān)督管理委員印發(fā)《村鎮(zhèn)銀行管理暫行規(guī)定》，在地、縣（市）、在鄉(xiāng)（鎮(zhèn)）設(shè)立的村鎮(zhèn)銀行，其注冊(cè)資本為不低于人民幣5000萬(wàn)、300萬(wàn)和100萬(wàn)元人民幣。

　　因?yàn)橄啾葌鹘y(tǒng)銀行業(yè)來(lái)說(shuō)，村鎮(zhèn)銀行較低的準(zhǔn)入門(mén)檻，增加了金融機(jī)構(gòu)關(guān)聯(lián)持股、交叉持股、增資擴(kuò)股、操控銀行高管的固有風(fēng)險(xiǎn)。極低的參與門(mén)檻，讓不懷好意的人能輕易地拿到“銀行”的招牌，這也是本次事件亂象背后的深層次原因之一。

　　與第三方互聯(lián)網(wǎng)平臺(tái)合作帶來(lái)的業(yè)務(wù)風(fēng)險(xiǎn)

　　2019年開(kāi)始，注重互聯(lián)網(wǎng)營(yíng)銷(xiāo)的第三方平臺(tái)的產(chǎn)品逐漸成熟，村鎮(zhèn)銀行由于業(yè)務(wù)擴(kuò)張的需求，一般都會(huì)通過(guò)互聯(lián)網(wǎng)與眾多第三方平臺(tái)對(duì)接，獲得巨大的入口流量，以開(kāi)展攬儲(chǔ)業(yè)務(wù)，吸收更多的公眾存款。特別是在2021年央行和銀保監(jiān)會(huì)叫停了互聯(lián)網(wǎng)存款業(yè)務(wù)后，許多小銀行包括村鎮(zhèn)銀行為了保留已有客戶(hù)和業(yè)務(wù)發(fā)展，紛紛將已有客戶(hù)引流到自己的小程序、公眾號(hào)或者銀行APP，以繼續(xù)提供銀行存款服務(wù)，促使了小程序、公眾號(hào)或者銀行APP用戶(hù)群體的快速發(fā)展和壯大。

　　但是這種多方合作往往存在平臺(tái)交易流程不透明、交易過(guò)程信息不對(duì)稱(chēng)等問(wèn)題，從而帶來(lái)交易過(guò)程出現(xiàn)問(wèn)題難以快速解決而導(dǎo)致業(yè)務(wù)風(fēng)險(xiǎn)，并且由于互聯(lián)網(wǎng)平臺(tái)的加入，將使這種原屬于小型村鎮(zhèn)銀行的地方性金融風(fēng)險(xiǎn)擴(kuò)大為全國(guó)范圍內(nèi)的系統(tǒng)性風(fēng)險(xiǎn)。同時(shí)由于多方合作具有主體金融機(jī)構(gòu)多元、職能復(fù)雜、數(shù)據(jù)龐大、業(yè)務(wù)交叉等特點(diǎn)，導(dǎo)致風(fēng)險(xiǎn)的潛伏時(shí)間長(zhǎng)，難以及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)萌芽。

　　對(duì)村鎮(zhèn)銀行金融科技的監(jiān)管風(fēng)險(xiǎn)

　　當(dāng)前我國(guó)的金融監(jiān)管部門(mén)對(duì)銀行保險(xiǎn)業(yè)和證券期貨業(yè)的大中型機(jī)構(gòu)的信息科技監(jiān)管規(guī)范及監(jiān)管手段相對(duì)成熟，各行業(yè)監(jiān)管部門(mén)對(duì)金融機(jī)構(gòu)的信息科技監(jiān)管規(guī)范的持續(xù)發(fā)布和監(jiān)管檢查與評(píng)級(jí)已開(kāi)展多年，取得了良好的效果。但針對(duì)小型金融機(jī)構(gòu)，特別是村鎮(zhèn)銀行，不僅是在業(yè)務(wù)監(jiān)管方面存在監(jiān)管不徹底的問(wèn)題，而且在金融科技方面的監(jiān)管方面也沒(méi)有引起足夠的重視，存在較大的空缺。

　　同時(shí)，由于我國(guó)采用傳統(tǒng)的分業(yè)監(jiān)管機(jī)制，比如互聯(lián)網(wǎng)行業(yè)由工信部監(jiān)管，金融行業(yè)由銀保監(jiān)會(huì)監(jiān)管。這種機(jī)制對(duì)于跨行業(yè)的業(yè)務(wù)監(jiān)管，比如對(duì)于各金融業(yè)務(wù)尤其是新興的金融科技業(yè)務(wù)存在監(jiān)管重疊和監(jiān)管空白問(wèn)題。

　　另外，缺乏有效的監(jiān)管技術(shù)手段也是造成監(jiān)管不到位的重要原因。例如，本次涉事村鎮(zhèn)銀行開(kāi)發(fā)的自營(yíng)平臺(tái)，搭建了一個(gè)跟村鎮(zhèn)銀行網(wǎng)銀體系一模一樣的網(wǎng)銀系統(tǒng)，表面看上去一切正常，但錢(qián)實(shí)際上沒(méi)有進(jìn)入銀行賬戶(hù)，而是流入了大股東控制的外部賬戶(hù)，就是因缺乏有效的技術(shù)性監(jiān)管手段而造成的村鎮(zhèn)銀行兩套賬戶(hù)的非法事件。

　　3.2村鎮(zhèn)銀行常見(jiàn)信息科技風(fēng)險(xiǎn)

　　村鎮(zhèn)銀行由于其自身能力與人才的不足，其IT系統(tǒng)一般采用由發(fā)起行協(xié)助開(kāi)發(fā)、外部廠(chǎng)商定制開(kāi)發(fā)或租用第三方平臺(tái)應(yīng)用等形式，這種以外部力量建立銀行IT系統(tǒng)有其方便快捷的好處，但后續(xù)IT系統(tǒng)的運(yùn)營(yíng)管理是村鎮(zhèn)銀行普遍存在的薄弱環(huán)節(jié)，會(huì)帶來(lái)較大的IT外包、日常運(yùn)維、數(shù)據(jù)安全及新技術(shù)應(yīng)用等方面的安全風(fēng)險(xiǎn)。

　　IT外包風(fēng)險(xiǎn)

　　基于成本和人才的原因，較小的村鎮(zhèn)銀行一般不會(huì)設(shè)立自己的研發(fā)部門(mén)，銀行會(huì)把核心業(yè)務(wù)系統(tǒng)及輔助性系統(tǒng)交給IT硬件廠(chǎng)商、軟件廠(chǎng)商及專(zhuān)業(yè)服務(wù)廠(chǎng)商來(lái)做，以縮短開(kāi)發(fā)周期和減少人力成本，外包人員在人員能力和安全意識(shí)方面都參差不齊。而村鎮(zhèn)銀行往往外包管理的能力不足，這將給金融業(yè)務(wù)帶來(lái)較大的舞弊操作、敏感數(shù)據(jù)泄露、業(yè)務(wù)無(wú)法快速恢復(fù)等安全風(fēng)險(xiǎn)。

　　日常運(yùn)維風(fēng)險(xiǎn)

　　村鎮(zhèn)銀行的業(yè)務(wù)應(yīng)用系統(tǒng)投產(chǎn)上線(xiàn)后，還需要做好日常運(yùn)維管理工作，如果由于存在日常操作規(guī)范、網(wǎng)絡(luò)安全防護(hù)、事件管理、變更管理、應(yīng)急響應(yīng)與處置、運(yùn)行記錄保存、數(shù)據(jù)備份恢復(fù)等方面的缺陷，將造成銀行的IT系統(tǒng)停機(jī)、外部入侵、業(yè)務(wù)中斷、合規(guī)處罰等風(fēng)險(xiǎn)。

　　數(shù)據(jù)安全風(fēng)險(xiǎn)

　　隨著金融科技的快速發(fā)展，村鎮(zhèn)銀行利用互聯(lián)網(wǎng)支付、理財(cái)、征信、保險(xiǎn)等金融業(yè)務(wù)平臺(tái)，累積了大量的金融數(shù)據(jù)，但是村鎮(zhèn)銀行安全管理能力有限，無(wú)法對(duì)數(shù)據(jù)安全進(jìn)行有效的管理，從而面臨著數(shù)據(jù)泄露、丟失、篡改，以及非法使用的可能，由于金融科技風(fēng)險(xiǎn)快速蔓延的特點(diǎn)，造成遭受巨額損失的風(fēng)險(xiǎn)增大，甚至可能破壞原本穩(wěn)定安全的國(guó)家金融環(huán)境。

　　新技術(shù)應(yīng)用風(fēng)險(xiǎn)

　　隨著金融科技的快速發(fā)展，村鎮(zhèn)銀行為拓展渠道、開(kāi)展業(yè)務(wù)，也會(huì)越來(lái)越多利用云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)、人工智能等新技術(shù)，開(kāi)展金融業(yè)務(wù)中的智能身份識(shí)別、大數(shù)據(jù)征信、業(yè)務(wù)反欺詐、網(wǎng)上支付、互聯(lián)網(wǎng)理財(cái)與保險(xiǎn)等方面的開(kāi)發(fā)與應(yīng)用。但是由于村鎮(zhèn)銀行對(duì)新興技術(shù)的安全管理能力有限，在未知的安全漏洞和不斷升級(jí)的“黑產(chǎn)”攻擊面前顯得力不從心，不可避免地面臨著巨大的安全風(fēng)險(xiǎn)與合規(guī)風(fēng)險(xiǎn)；同時(shí)由于互聯(lián)網(wǎng)平臺(tái)廣泛覆蓋和新技術(shù)風(fēng)險(xiǎn)快速蔓延的特點(diǎn)，造成遭受巨額損失的風(fēng)險(xiǎn)在不斷增大，甚至可能會(huì)引起破壞國(guó)家金融穩(wěn)定的重大事件。

　　04 對(duì)村鎮(zhèn)銀行金融科技風(fēng)險(xiǎn)管控的建議

　　村鎮(zhèn)銀行應(yīng)在有利于防范風(fēng)險(xiǎn)、有利于拓展支農(nóng)支小特色服務(wù)、有利于完善公司治理的前提下，加強(qiáng)對(duì)自身金融科技的風(fēng)險(xiǎn)管理。

　　一方面，監(jiān)管部門(mén)應(yīng)建立健全針對(duì)村鎮(zhèn)銀行金融科技的監(jiān)管要求，并利用社會(huì)力量監(jiān)督執(zhí)行；另一方面，村鎮(zhèn)銀行應(yīng)充分利用發(fā)起行在信息科技方面的技術(shù)與管理優(yōu)勢(shì)，必要時(shí)可引入同業(yè)合作資源和第三方IT外包資源，開(kāi)展有自身特色的信息系統(tǒng)的建設(shè)，并建立與信息系統(tǒng)運(yùn)行管理模式相匹配的信息科技風(fēng)險(xiǎn)管理體系，強(qiáng)化網(wǎng)絡(luò)安全、業(yè)務(wù)連續(xù)性、IT外包等領(lǐng)域的風(fēng)險(xiǎn)防控，保障數(shù)據(jù)安全及信息系統(tǒng)平穩(wěn)、持續(xù)運(yùn)行。

　　以下分別從加強(qiáng)對(duì)村鎮(zhèn)銀行金融科技的監(jiān)管和提高村鎮(zhèn)銀行自身金融科技管理水平兩個(gè)維度提出加強(qiáng)村鎮(zhèn)銀行金融科技安全的建議。

　　村鎮(zhèn)銀行金融科技安全框架

　　4.1 對(duì)加強(qiáng)村鎮(zhèn)銀行金融科技監(jiān)管的建議

　　從完善村鎮(zhèn)銀行金融科技監(jiān)管要求、提升監(jiān)管科技水平、利用社會(huì)力量開(kāi)展IT審計(jì)三個(gè)方面提出如下監(jiān)管建議：

　　完善對(duì)村鎮(zhèn)銀行金融科技的監(jiān)管規(guī)范要求

　　應(yīng)充分利用我國(guó)在銀行保險(xiǎn)業(yè)和證券期貨業(yè)的長(zhǎng)期信息科技監(jiān)管中積累的經(jīng)驗(yàn)，制定并發(fā)布村鎮(zhèn)銀行金融科技監(jiān)管規(guī)范，指導(dǎo)村鎮(zhèn)銀行開(kāi)展金融科技風(fēng)險(xiǎn)管理，確保村鎮(zhèn)銀行的金融科技能夠在IT治理、信息基礎(chǔ)設(shè)施建設(shè)、IT規(guī)劃與項(xiàng)目管理、系統(tǒng)開(kāi)發(fā)運(yùn)行管理、安全防護(hù)、數(shù)據(jù)管理、新技術(shù)應(yīng)用、應(yīng)急災(zāi)備、IT外包等方面建立有效的管理機(jī)制，確保信息科技工作目標(biāo)與業(yè)務(wù)發(fā)展目標(biāo)一致，增強(qiáng)村鎮(zhèn)銀行核心競(jìng)爭(zhēng)力，促進(jìn)村鎮(zhèn)銀行安全、持續(xù)、穩(wěn)健發(fā)展。

　　另一方面，針對(duì)涉及移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能、區(qū)塊鏈等新興技術(shù)的金融業(yè)務(wù)領(lǐng)域，各行業(yè)監(jiān)管部門(mén)、政府相關(guān)部門(mén)及企業(yè)應(yīng)聯(lián)合起來(lái)，共同研究制定適用的新技術(shù)安全監(jiān)管規(guī)范和操作指引；完善跨行業(yè)的金融科技合規(guī)要求，制定相關(guān)監(jiān)管細(xì)則并嚴(yán)格實(shí)施，從根本上對(duì)村鎮(zhèn)銀行涉及的新技術(shù)風(fēng)險(xiǎn)管控思路與方法加以指導(dǎo)，從源頭上遏制村鎮(zhèn)銀行利用新技術(shù)和互聯(lián)網(wǎng)平臺(tái)時(shí)可能造成金融風(fēng)險(xiǎn)無(wú)限擴(kuò)大的可能性。

　　提升監(jiān)管科技水平，延伸監(jiān)管視角到重要業(yè)務(wù)環(huán)節(jié)

　　由于監(jiān)管思路及監(jiān)管力量的約束，我國(guó)當(dāng)前監(jiān)管部門(mén)對(duì)于金融機(jī)構(gòu)的監(jiān)管重點(diǎn)大多放在大中型金融機(jī)構(gòu)身上，而對(duì)于像村鎮(zhèn)銀行這類(lèi)小微型金融機(jī)構(gòu)的監(jiān)管投入有限；而且，監(jiān)管的方式多停留在事前管理，注重規(guī)范市場(chǎng)準(zhǔn)入的條件，而往往忽略事中、事后的全過(guò)程的監(jiān)管，易造成監(jiān)管不徹底，形成監(jiān)管空缺。由于新技術(shù)的發(fā)展和互聯(lián)網(wǎng)應(yīng)用的深入，當(dāng)前包括村鎮(zhèn)銀行在內(nèi)的小微型金融機(jī)構(gòu)，所引起的風(fēng)險(xiǎn)程度并不能完全以其自身的規(guī)模大小來(lái)衡量，小微型金融機(jī)構(gòu)由于金融科技利用不當(dāng)也可能造成大范圍的系統(tǒng)性風(fēng)險(xiǎn)。這應(yīng)當(dāng)引起監(jiān)管部門(mén)的足夠警覺(jué)。

　　金融科技安全是金融安全的底座，防范系統(tǒng)性金融安全風(fēng)險(xiǎn)，應(yīng)加快相關(guān)監(jiān)管科技的創(chuàng)新，建立全方位的信息系統(tǒng)安全管理機(jī)制和豐富監(jiān)管手段，加強(qiáng)金融業(yè)務(wù)和數(shù)字科技結(jié)合的監(jiān)管。比如開(kāi)展金融事件的大數(shù)據(jù)關(guān)聯(lián)分析，標(biāo)準(zhǔn)化風(fēng)險(xiǎn)描述方法和格式，識(shí)別金融事件發(fā)生的各個(gè)要素，細(xì)化描述金融事件發(fā)生過(guò)程，并以結(jié)構(gòu)化的方式對(duì)風(fēng)險(xiǎn)加以展現(xiàn)；同時(shí)對(duì)金融事件中的金融數(shù)據(jù)等信息記錄為數(shù)字風(fēng)險(xiǎn)臺(tái)賬，建立風(fēng)險(xiǎn)雷達(dá)，運(yùn)用AI技術(shù)前瞻性地研判風(fēng)險(xiǎn)情景；以及利用網(wǎng)絡(luò)分析、機(jī)器學(xué)習(xí)等技術(shù)，智能識(shí)別海量金融科技交易，設(shè)置金融科技安全風(fēng)險(xiǎn)閾值，并進(jìn)行安全報(bào)警，實(shí)時(shí)監(jiān)督、管控各類(lèi)違法違規(guī)行為。

　　利用社會(huì)力量對(duì)村鎮(zhèn)銀行科技風(fēng)險(xiǎn)開(kāi)展IT審計(jì)

　　當(dāng)前金融機(jī)構(gòu)中的大中型銀行、保險(xiǎn)和證券等機(jī)構(gòu)已經(jīng)建立較為完整的監(jiān)管審查與評(píng)價(jià)制度，而且開(kāi)展獨(dú)立的第三方IT審計(jì)也已實(shí)施多年。主管部門(mén)及其地方分支機(jī)構(gòu)的行政監(jiān)管式的審查，一般只能把精力集中在大中型金融機(jī)構(gòu)的關(guān)鍵信息基礎(chǔ)設(shè)施和最重要金融科技事項(xiàng)的審查與評(píng)價(jià)上，無(wú)法覆蓋到大多數(shù)小微型金融機(jī)構(gòu)。因此，當(dāng)前金融監(jiān)管部門(mén)通過(guò)制定政策，號(hào)召和利用社會(huì)上的第三方力量，參加金融科技安全風(fēng)險(xiǎn)評(píng)價(jià)與IT審計(jì)工作就顯得尤為重要。

　　在歐美，第三方安全評(píng)價(jià)與IT審計(jì)已經(jīng)形成了一個(gè)巨大的市場(chǎng)，出現(xiàn)了一批專(zhuān)業(yè)從事第三方安全評(píng)價(jià)與IT審計(jì)的新興公司。所有的服務(wù)類(lèi)企業(yè)，例如Google、Amazon、Microsoft等，每年都需要第三方機(jī)構(gòu)對(duì)其進(jìn)行獨(dú)立審計(jì)，出具的SOC1、SOC2、SOC3審計(jì)報(bào)告，其中SOC2的審計(jì)報(bào)告主要就是IT審計(jì)報(bào)告。這一機(jī)制催生一個(gè)龐大的IT審計(jì)服務(wù)的市場(chǎng)。

　　我國(guó)有關(guān)部門(mén)也在積極制定政策，推進(jìn)第三方IT審計(jì)工作的開(kāi)展。例如，中國(guó)內(nèi)審協(xié)會(huì)已制定規(guī)范IT審計(jì)的信息系統(tǒng)審計(jì)指南，國(guó)家信息安全測(cè)評(píng)中心2018年5月發(fā)布了第一批“信息系統(tǒng)審計(jì)服務(wù)資質(zhì)”。此外，銀監(jiān)會(huì)2009年發(fā)布《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》要求銀行要開(kāi)展IT內(nèi)部和外部審計(jì)，國(guó)家審計(jì)署2012年發(fā)布了《計(jì)算機(jī)審計(jì)實(shí)務(wù)公告第34號(hào)》，證監(jiān)會(huì)2016年11月發(fā)布了《證券期貨業(yè)信息系統(tǒng)審計(jì)指南 》等也促進(jìn)了國(guó)內(nèi)IT審計(jì)市場(chǎng)的逐步形成。

　　因此，主管部門(mén)可以針對(duì)村鎮(zhèn)銀行金融科技安全的要求，制定相關(guān)規(guī)范和標(biāo)準(zhǔn)，引導(dǎo)社會(huì)上的第三方力量參與金融科技安全的評(píng)價(jià)與審計(jì)工作，形成主管部門(mén)監(jiān)管審查與第三方IT審計(jì)相結(jié)合的金融科技安全監(jiān)管大環(huán)境，利用社會(huì)力量來(lái)完成對(duì)包括村鎮(zhèn)銀行在內(nèi)的小微型金融機(jī)構(gòu)的科技風(fēng)險(xiǎn)的監(jiān)督工作，從而護(hù)航村鎮(zhèn)銀行金融科技的健康發(fā)展。

　　4.2 對(duì)提高村鎮(zhèn)銀行自身金融科技管理水平的建議

　　村鎮(zhèn)銀行應(yīng)該從信息科技治理、基礎(chǔ)設(shè)施及應(yīng)用系統(tǒng)建設(shè)、開(kāi)發(fā)運(yùn)維管理、網(wǎng)絡(luò)安全與科技風(fēng)險(xiǎn)管理、同業(yè)合作管理、IT外包管理等方面加強(qiáng)對(duì)金融科技的管控。

　　優(yōu)化信息科技治理機(jī)制，提升信息科技管理水平

　　村鎮(zhèn)銀行應(yīng)根據(jù)市場(chǎng)定位和業(yè)務(wù)戰(zhàn)略，結(jié)合本行的管理水平和技術(shù)能力，選擇自主管理和主發(fā)起行管理等因地制宜的模式，優(yōu)化法人及最高管理層負(fù)責(zé)制，積極采用自建、同業(yè)合作或外包的方式開(kāi)展信息科技工作。

　　村鎮(zhèn)銀行應(yīng)成立信息科技管理部門(mén)，引入必要的金融科技人才，制定符合總體業(yè)務(wù)規(guī)劃的金融科技戰(zhàn)略、IT架構(gòu)標(biāo)準(zhǔn)、IT制度流程、信息科技運(yùn)行計(jì)劃和信息科技風(fēng)險(xiǎn)評(píng)估計(jì)劃，確保配置足夠人力、財(cái)力資源，維持穩(wěn)定、安全的信息科技環(huán)境。

　　加強(qiáng)信息科技基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用系統(tǒng)建設(shè)

　　村鎮(zhèn)銀行應(yīng)重視信息科技基礎(chǔ)設(shè)施建設(shè)，必要時(shí)引入符合金融監(jiān)管要求的云計(jì)算資源；信息科技基礎(chǔ)設(shè)施應(yīng)滿(mǎn)足資源共享、便于管理、安全可靠的原則，并符合可擴(kuò)展和易維護(hù)的要求，為各類(lèi)信息科技應(yīng)用提供支持和服務(wù)。

　　村鎮(zhèn)銀行信息系統(tǒng)應(yīng)具備有效支持各項(xiàng)銀行業(yè)務(wù)開(kāi)展所需的功能，滿(mǎn)足村鎮(zhèn)銀行發(fā)行銀行卡、建立支付結(jié)算渠道、發(fā)展電子銀行業(yè)務(wù)、創(chuàng)新金融產(chǎn)品等需求；具備與業(yè)務(wù)處理要求相匹配的良好性能；對(duì)于現(xiàn)代化支付、銀行卡聯(lián)網(wǎng)、征信等系統(tǒng)，原則上應(yīng)實(shí)現(xiàn)信息系統(tǒng)集中接入和集約管理。

　　完善村鎮(zhèn)銀行信息科技開(kāi)發(fā)與運(yùn)維管理

　　村鎮(zhèn)銀行應(yīng)建立健全信息系統(tǒng)開(kāi)發(fā)和運(yùn)行管理的制度與流程，涵蓋需求管理、項(xiàng)目管理、采購(gòu)管理、開(kāi)發(fā)管理、測(cè)試管理、驗(yàn)收管理、問(wèn)題管理和變更管理等內(nèi)容。

　　應(yīng)制定信息系統(tǒng)的運(yùn)行操作規(guī)范，說(shuō)明系統(tǒng)操作人員的任務(wù)、工作日程、執(zhí)行步驟，并根據(jù)信息系統(tǒng)生產(chǎn)變更情況及時(shí)修訂；應(yīng)制定信息系統(tǒng)故障管理流程，明確信息系統(tǒng)故障分類(lèi)分級(jí)、報(bào)告路線(xiàn)、應(yīng)急處置、原因分析等工作流程和管理要求；建立信息系統(tǒng)、網(wǎng)絡(luò)、機(jī)房環(huán)境的實(shí)時(shí)監(jiān)控平臺(tái)，及時(shí)發(fā)現(xiàn)、處理問(wèn)題，盡量減小損失。

　　制定數(shù)據(jù)管理制度，村鎮(zhèn)銀行生產(chǎn)數(shù)據(jù)的所有權(quán)歸村鎮(zhèn)銀行，村鎮(zhèn)銀行以外的單位未經(jīng)授權(quán)，不得查詢(xún)、使用、變更、銷(xiāo)毀村鎮(zhèn)銀行生產(chǎn)數(shù)據(jù)。規(guī)范數(shù)據(jù)備份的工作流程和管理要求，明確數(shù)據(jù)備份介質(zhì)的安全保存要求，嚴(yán)格執(zhí)行數(shù)據(jù)備份策略并定期檢查。

　　加強(qiáng)村鎮(zhèn)銀行的網(wǎng)絡(luò)安全管理和信息科技風(fēng)險(xiǎn)管理

　　村鎮(zhèn)銀行應(yīng)建立符合等級(jí)保護(hù)要求的網(wǎng)絡(luò)安全管理體系，涵蓋物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、加密技術(shù)、日志管理等內(nèi)容；村鎮(zhèn)銀行應(yīng)建立有效的應(yīng)急管理體系，確保重要信息系統(tǒng)突發(fā)事件發(fā)生后快速恢復(fù)，降低或消除因重要信息系統(tǒng)服務(wù)中斷造成的影響和損失；村鎮(zhèn)銀行應(yīng)重視業(yè)務(wù)連續(xù)性管理，指定綜合管理部門(mén)為業(yè)務(wù)連續(xù)性管理主管部門(mén)，明確業(yè)務(wù)連續(xù)性管理執(zhí)行、保障部門(mén)，以及業(yè)務(wù)連續(xù)性管理、業(yè)務(wù)連續(xù)性計(jì)劃制定、演練與改進(jìn)等職責(zé)。

　　村鎮(zhèn)銀行應(yīng)將信息科技風(fēng)險(xiǎn)納入全面風(fēng)險(xiǎn)管理框架，明確信息科技風(fēng)險(xiǎn)管理工作的主管部門(mén)，建立與業(yè)務(wù)發(fā)展規(guī)劃、經(jīng)營(yíng)目標(biāo)、管理職責(zé)相適應(yīng)的信息科技風(fēng)險(xiǎn)管理策略，有效識(shí)別、計(jì)量、監(jiān)測(cè)和控制信息科技風(fēng)險(xiǎn)。

　　加強(qiáng)同業(yè)合作，快速可靠地提升科技應(yīng)用與管理水平

　　村鎮(zhèn)銀行應(yīng)綜合評(píng)估擬受托同業(yè)機(jī)構(gòu)的行業(yè)經(jīng)驗(yàn)、科技實(shí)力和管理能力等，遵循平等、自愿、誠(chéng)信、互利的原則，委托同業(yè)機(jī)構(gòu)承擔(dān)村鎮(zhèn)銀行信息科技服務(wù)工作，受托同業(yè)機(jī)構(gòu)應(yīng)建立有效的信息科技治理機(jī)制，對(duì)其承擔(dān)的村鎮(zhèn)銀行信息科技工作負(fù)有科技風(fēng)險(xiǎn)管理責(zé)任，并配合村鎮(zhèn)銀行信息科技審計(jì)工作；各簽約方應(yīng)建立良好的溝通協(xié)調(diào)機(jī)制，應(yīng)指定部門(mén)負(fù)責(zé)信息科技事項(xiàng)的溝通工作，確保信息科技服務(wù)及時(shí)、到位。

　　加強(qiáng)IT外包管理，利用外部資源彌補(bǔ)自身的不足

　　村鎮(zhèn)銀行由于其自身的開(kāi)發(fā)能力和專(zhuān)業(yè)人才方面的局限性，在核心業(yè)務(wù)系統(tǒng)開(kāi)發(fā)、業(yè)務(wù)數(shù)據(jù)管理、網(wǎng)絡(luò)安全防護(hù)、新技術(shù)新渠道應(yīng)用等方面通過(guò)信息科技外包的方式引入外部產(chǎn)品和服務(wù)廠(chǎng)商的支持，以克服自身能力的不足。

　　村鎮(zhèn)銀行應(yīng)從頂層推動(dòng)開(kāi)展信息科技外包管理體系建設(shè)，完善外包制度和流程建設(shè)，定期對(duì)外包管理工作落實(shí)情況進(jìn)行監(jiān)督，建立信息科技外包管理組織與職責(zé)，合理規(guī)劃科技外包制度體系框架，形成科技外包制度體系管控模式。

　　在外包服務(wù)實(shí)施過(guò)程中，村鎮(zhèn)銀行應(yīng)當(dāng)對(duì)服務(wù)提供商的財(cái)務(wù)、內(nèi)控及安全管理進(jìn)行持續(xù)監(jiān)控，關(guān)注其因破產(chǎn)、兼并、關(guān)鍵人員流失、投入不足和管理不善等因素引發(fā)的財(cái)務(wù)狀況惡化及內(nèi)部管理混亂等情況，防范外包服務(wù)意外終止或服務(wù)質(zhì)量的急劇下降。

　　總之，村鎮(zhèn)銀行的金融科技安全應(yīng)從監(jiān)管層面加強(qiáng)金融科技監(jiān)管，提升監(jiān)管科技水平，同時(shí)并在村鎮(zhèn)銀行層面提升自身金融科技規(guī)劃建設(shè)與安全管控的水平，以提供合理的科技治理機(jī)制和可靠的科技安全底座，確保村鎮(zhèn)銀行的健康發(fā)展。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<