01 村鎮銀行事件背景
2022年7月10日許昌市公安局的警情通報:“…2011年以來,以犯罪嫌疑人呂奕為首的犯罪團伙通過河南新財富集團等公司,以關聯持股、交叉持股、增資擴股、操控銀行高管等手段,實際控制禹州新民生等幾家村鎮銀行,利用第三方互聯網金融平臺和該犯罪團伙設立的君正智達科技有限公司開發的自營平臺及一批資金掮客進行攬儲和推銷金融產品,以虛構貸款等方式非法轉移資金,專門設立宸鈺信息技術有限公司刪改數據、屏蔽瞞報…”
2022年7月18日據中國銀行保險報報道,公安機關已初步查明河南安徽5家村鎮銀行案件主要事實,河南新財富集團操縱河南、安徽5家村鎮銀行,通過內外勾結、利用第三方平臺以及資金掮客等方式非法吸收并占有公眾資金,篡改原始業務數據,掩蓋非法行為。該案件中村鎮銀行通過三方平臺以及微信小程序,大量異地攬儲,資金高達400億元,其中線上攬儲約300億,而線下儲戶資金有100億。
從這次銀行事件的初步調查結果來看,其發生的根源是由于這幾家村鎮銀行高管股東互相勾結,用符合銀保監規定的流程手續,做了一套假的系統,跟第三方公司搞了個不入真賬的平臺,以達到非法吸收并占有公眾資金的目的。本次事件中涉事的儲戶之多,金額之大,都是前所未有的,引起了社會各界的震動和對村鎮銀行金融安全的思考。
此次事件不僅暴露了銀行內部管理及外部監管等方面的巨大漏洞,而且金融科技管理方面的缺陷也對此事件發展起到了推波助瀾的作用。本文從村鎮銀行的金融科技安全的角度來看村鎮銀行如何來進行金融科技風險管理。
02 村鎮銀行金融科技的發展現狀
村鎮銀行是在農村地區設立的主要為當地農民、農業和農村經濟發展提供金融服務的銀行業金融機構,近幾年村鎮銀行在國家的鼓勵下快速發展,有效地填補了農村地區金融服務的空白,增加了農村地區的金融支持力度,并在互聯網、大數據等新技術下在互聯網發展背景下不斷擴大業務規模和豐富業務內容。
2.1 中國村鎮銀行發展背景
2006年,為解決農村地區銀行業金融機構網點覆蓋率低、金融供給不足、競爭不充分等問題,銀監會放寬了農村銀行業金融機構的準入政策,2006年12月發布了《中國銀行業監督管理委員會關于調整放寬農村地區銀行業金融機構準入政策更好支持社會主義新農村建設的若干意見》,內容包括調整放寬農村地區銀行業金融機構準入政策,鼓勵在縣(市)設立村鎮銀行。
國內村鎮銀行試點在2006年12月啟動,2007年3月首批村鎮銀行在國內6個首批試點省誕生。銀保監會數據顯示,截至(2020年6月30日),全國已組建1633家村鎮銀行,截至2021年末,我國村鎮銀行法人機構數量達到1649家,占全國銀行業金融機構總數的36%左右。
村鎮銀行的發展促進了農村地區形成投資多元、種類多樣的銀行業金融服務體系,更好地改進和加強農村金融服務。村鎮銀行為我國縣域經濟的發展貢獻了重要的力量,是我國農村金融的重要參與者之一。
2.2 村鎮銀行的信息化建設現狀
村鎮銀行當前的信息化建設在一定程度上支撐了目前的業務發展,但依然存在以下突出問題:系統功能簡單,外購系統無自主開發權,業務發展受限;科技力量薄弱,系統運維管理不規范,出現系統問題由外部公司技術人員遠程支持;業務數據管理不規范,應急災備與業務連續性管理普通缺失;風險管控薄弱,存在很大安全隱患,很多業務相關數據不能在線監測,不利于管理行和監管部門及時準確地掌握其實際經營情況等。
與國有商業銀行和股份制商業銀行相比,信息科技資金投入有限,科技人才力量薄弱,自主開發與運維能力不足,已成為村鎮銀行信息化建設面臨的最突出問題,也埋下了諸多科技風險的隱患。
2.3 村鎮銀行面臨新技術新業務的挑戰
隨著金融信息化的成長與發展,金融科技為傳統金融帶來了新思路、新動力,引起了傳統金融經營模式、盈利模式、服務模式等變化。金融科技同樣也給村鎮銀行的業務創新帶來了“彎道超車”的機會。例如,村鎮銀行可以利用互聯網渠道拓展業務,降低運營成本。村鎮銀行利用金融科技轉型的形式主要包括直銷銀行、網上銀行、第三方平臺、公眾號、小程序等。
相較于國有行和股份行在金融科技領域的大手筆投入,絕大部分村鎮銀行受資本、人才和業務規模的限制,難以獨立研發適用的金融科技系統,即便是購買了現成的創新類應用系統,由于缺乏相關金融科技人才,也很難高效地利用起來。因此,村鎮銀行在本身信息科技能力先天不足的情況下,又要面對同業在金融科技領域的競爭,被迫面臨許多新的挑戰與風險。
03 村鎮銀行面臨的金融科技風險
據央行統計,截至2021年第二季度,共有122家村鎮銀行為高風險機構,占全部高風險機構的29%左右。村鎮銀行的金融科技風險包括自身固有風險和常見信息科技風險。
3.1 村鎮銀行自身固有風險
村鎮銀行由于其自身的特點,容易導致由于門檻較低帶來的準入風險,由互聯網平臺合作帶來的業務安全風險,以及由于外包帶來的IT外包安全風險等固有風險。
村鎮銀行門檻較低帶來的準入風險
2007年中國銀行業監督管理委員印發《村鎮銀行管理暫行規定》,在地、縣(市)、在鄉(鎮)設立的村鎮銀行,其注冊資本為不低于人民幣5000萬、300萬和100萬元人民幣。
因為相比傳統銀行業來說,村鎮銀行較低的準入門檻,增加了金融機構關聯持股、交叉持股、增資擴股、操控銀行高管的固有風險。極低的參與門檻,讓不懷好意的人能輕易地拿到“銀行”的招牌,這也是本次事件亂象背后的深層次原因之一。
與第三方互聯網平臺合作帶來的業務風險
2019年開始,注重互聯網營銷的第三方平臺的產品逐漸成熟,村鎮銀行由于業務擴張的需求,一般都會通過互聯網與眾多第三方平臺對接,獲得巨大的入口流量,以開展攬儲業務,吸收更多的公眾存款。特別是在2021年央行和銀保監會叫停了互聯網存款業務后,許多小銀行包括村鎮銀行為了保留已有客戶和業務發展,紛紛將已有客戶引流到自己的小程序、公眾號或者銀行APP,以繼續提供銀行存款服務,促使了小程序、公眾號或者銀行APP用戶群體的快速發展和壯大。
但是這種多方合作往往存在平臺交易流程不透明、交易過程信息不對稱等問題,從而帶來交易過程出現問題難以快速解決而導致業務風險,并且由于互聯網平臺的加入,將使這種原屬于小型村鎮銀行的地方性金融風險擴大為全國范圍內的系統性風險。同時由于多方合作具有主體金融機構多元、職能復雜、數據龐大、業務交叉等特點,導致風險的潛伏時間長,難以及時發現風險萌芽。
對村鎮銀行金融科技的監管風險
當前我國的金融監管部門對銀行保險業和證券期貨業的大中型機構的信息科技監管規范及監管手段相對成熟,各行業監管部門對金融機構的信息科技監管規范的持續發布和監管檢查與評級已開展多年,取得了良好的效果。但針對小型金融機構,特別是村鎮銀行,不僅是在業務監管方面存在監管不徹底的問題,而且在金融科技方面的監管方面也沒有引起足夠的重視,存在較大的空缺。
同時,由于我國采用傳統的分業監管機制,比如互聯網行業由工信部監管,金融行業由銀保監會監管。這種機制對于跨行業的業務監管,比如對于各金融業務尤其是新興的金融科技業務存在監管重疊和監管空白問題。
另外,缺乏有效的監管技術手段也是造成監管不到位的重要原因。例如,本次涉事村鎮銀行開發的自營平臺,搭建了一個跟村鎮銀行網銀體系一模一樣的網銀系統,表面看上去一切正常,但錢實際上沒有進入銀行賬戶,而是流入了大股東控制的外部賬戶,就是因缺乏有效的技術性監管手段而造成的村鎮銀行兩套賬戶的非法事件。
3.2村鎮銀行常見信息科技風險
村鎮銀行由于其自身能力與人才的不足,其IT系統一般采用由發起行協助開發、外部廠商定制開發或租用第三方平臺應用等形式,這種以外部力量建立銀行IT系統有其方便快捷的好處,但后續IT系統的運營管理是村鎮銀行普遍存在的薄弱環節,會帶來較大的IT外包、日常運維、數據安全及新技術應用等方面的安全風險。
IT外包風險
基于成本和人才的原因,較小的村鎮銀行一般不會設立自己的研發部門,銀行會把核心業務系統及輔助性系統交給IT硬件廠商、軟件廠商及專業服務廠商來做,以縮短開發周期和減少人力成本,外包人員在人員能力和安全意識方面都參差不齊。而村鎮銀行往往外包管理的能力不足,這將給金融業務帶來較大的舞弊操作、敏感數據泄露、業務無法快速恢復等安全風險。
日常運維風險
村鎮銀行的業務應用系統投產上線后,還需要做好日常運維管理工作,如果由于存在日常操作規范、網絡安全防護、事件管理、變更管理、應急響應與處置、運行記錄保存、數據備份恢復等方面的缺陷,將造成銀行的IT系統停機、外部入侵、業務中斷、合規處罰等風險。
數據安全風險
隨著金融科技的快速發展,村鎮銀行利用互聯網支付、理財、征信、保險等金融業務平臺,累積了大量的金融數據,但是村鎮銀行安全管理能力有限,無法對數據安全進行有效的管理,從而面臨著數據泄露、丟失、篡改,以及非法使用的可能,由于金融科技風險快速蔓延的特點,造成遭受巨額損失的風險增大,甚至可能破壞原本穩定安全的國家金融環境。
新技術應用風險
隨著金融科技的快速發展,村鎮銀行為拓展渠道、開展業務,也會越來越多利用云計算、大數據、移動互聯、人工智能等新技術,開展金融業務中的智能身份識別、大數據征信、業務反欺詐、網上支付、互聯網理財與保險等方面的開發與應用。但是由于村鎮銀行對新興技術的安全管理能力有限,在未知的安全漏洞和不斷升級的“黑產”攻擊面前顯得力不從心,不可避免地面臨著巨大的安全風險與合規風險;同時由于互聯網平臺廣泛覆蓋和新技術風險快速蔓延的特點,造成遭受巨額損失的風險在不斷增大,甚至可能會引起破壞國家金融穩定的重大事件。
04 對村鎮銀行金融科技風險管控的建議
村鎮銀行應在有利于防范風險、有利于拓展支農支小特色服務、有利于完善公司治理的前提下,加強對自身金融科技的風險管理。
一方面,監管部門應建立健全針對村鎮銀行金融科技的監管要求,并利用社會力量監督執行;另一方面,村鎮銀行應充分利用發起行在信息科技方面的技術與管理優勢,必要時可引入同業合作資源和第三方IT外包資源,開展有自身特色的信息系統的建設,并建立與信息系統運行管理模式相匹配的信息科技風險管理體系,強化網絡安全、業務連續性、IT外包等領域的風險防控,保障數據安全及信息系統平穩、持續運行。
以下分別從加強對村鎮銀行金融科技的監管和提高村鎮銀行自身金融科技管理水平兩個維度提出加強村鎮銀行金融科技安全的建議。
村鎮銀行金融科技安全框架
4.1 對加強村鎮銀行金融科技監管的建議
從完善村鎮銀行金融科技監管要求、提升監管科技水平、利用社會力量開展IT審計三個方面提出如下監管建議:
完善對村鎮銀行金融科技的監管規范要求
應充分利用我國在銀行保險業和證券期貨業的長期信息科技監管中積累的經驗,制定并發布村鎮銀行金融科技監管規范,指導村鎮銀行開展金融科技風險管理,確保村鎮銀行的金融科技能夠在IT治理、信息基礎設施建設、IT規劃與項目管理、系統開發運行管理、安全防護、數據管理、新技術應用、應急災備、IT外包等方面建立有效的管理機制,確保信息科技工作目標與業務發展目標一致,增強村鎮銀行核心競爭力,促進村鎮銀行安全、持續、穩健發展。
另一方面,針對涉及移動互聯網、大數據、人工智能、區塊鏈等新興技術的金融業務領域,各行業監管部門、政府相關部門及企業應聯合起來,共同研究制定適用的新技術安全監管規范和操作指引;完善跨行業的金融科技合規要求,制定相關監管細則并嚴格實施,從根本上對村鎮銀行涉及的新技術風險管控思路與方法加以指導,從源頭上遏制村鎮銀行利用新技術和互聯網平臺時可能造成金融風險無限擴大的可能性。
提升監管科技水平,延伸監管視角到重要業務環節
由于監管思路及監管力量的約束,我國當前監管部門對于金融機構的監管重點大多放在大中型金融機構身上,而對于像村鎮銀行這類小微型金融機構的監管投入有限;而且,監管的方式多停留在事前管理,注重規范市場準入的條件,而往往忽略事中、事后的全過程的監管,易造成監管不徹底,形成監管空缺。由于新技術的發展和互聯網應用的深入,當前包括村鎮銀行在內的小微型金融機構,所引起的風險程度并不能完全以其自身的規模大小來衡量,小微型金融機構由于金融科技利用不當也可能造成大范圍的系統性風險。這應當引起監管部門的足夠警覺。
金融科技安全是金融安全的底座,防范系統性金融安全風險,應加快相關監管科技的創新,建立全方位的信息系統安全管理機制和豐富監管手段,加強金融業務和數字科技結合的監管。比如開展金融事件的大數據關聯分析,標準化風險描述方法和格式,識別金融事件發生的各個要素,細化描述金融事件發生過程,并以結構化的方式對風險加以展現;同時對金融事件中的金融數據等信息記錄為數字風險臺賬,建立風險雷達,運用AI技術前瞻性地研判風險情景;以及利用網絡分析、機器學習等技術,智能識別海量金融科技交易,設置金融科技安全風險閾值,并進行安全報警,實時監督、管控各類違法違規行為。
利用社會力量對村鎮銀行科技風險開展IT審計
當前金融機構中的大中型銀行、保險和證券等機構已經建立較為完整的監管審查與評價制度,而且開展獨立的第三方IT審計也已實施多年。主管部門及其地方分支機構的行政監管式的審查,一般只能把精力集中在大中型金融機構的關鍵信息基礎設施和最重要金融科技事項的審查與評價上,無法覆蓋到大多數小微型金融機構。因此,當前金融監管部門通過制定政策,號召和利用社會上的第三方力量,參加金融科技安全風險評價與IT審計工作就顯得尤為重要。
在歐美,第三方安全評價與IT審計已經形成了一個巨大的市場,出現了一批專業從事第三方安全評價與IT審計的新興公司。所有的服務類企業,例如Google、Amazon、Microsoft等,每年都需要第三方機構對其進行獨立審計,出具的SOC1、SOC2、SOC3審計報告,其中SOC2的審計報告主要就是IT審計報告。這一機制催生一個龐大的IT審計服務的市場。
我國有關部門也在積極制定政策,推進第三方IT審計工作的開展。例如,中國內審協會已制定規范IT審計的信息系統審計指南,國家信息安全測評中心2018年5月發布了第一批“信息系統審計服務資質”。此外,銀監會2009年發布《商業銀行信息科技風險管理指引》要求銀行要開展IT內部和外部審計,國家審計署2012年發布了《計算機審計實務公告第34號》,證監會2016年11月發布了《證券期貨業信息系統審計指南 》等也促進了國內IT審計市場的逐步形成。
因此,主管部門可以針對村鎮銀行金融科技安全的要求,制定相關規范和標準,引導社會上的第三方力量參與金融科技安全的評價與審計工作,形成主管部門監管審查與第三方IT審計相結合的金融科技安全監管大環境,利用社會力量來完成對包括村鎮銀行在內的小微型金融機構的科技風險的監督工作,從而護航村鎮銀行金融科技的健康發展。
4.2 對提高村鎮銀行自身金融科技管理水平的建議
村鎮銀行應該從信息科技治理、基礎設施及應用系統建設、開發運維管理、網絡安全與科技風險管理、同業合作管理、IT外包管理等方面加強對金融科技的管控。
優化信息科技治理機制,提升信息科技管理水平
村鎮銀行應根據市場定位和業務戰略,結合本行的管理水平和技術能力,選擇自主管理和主發起行管理等因地制宜的模式,優化法人及最高管理層負責制,積極采用自建、同業合作或外包的方式開展信息科技工作。
村鎮銀行應成立信息科技管理部門,引入必要的金融科技人才,制定符合總體業務規劃的金融科技戰略、IT架構標準、IT制度流程、信息科技運行計劃和信息科技風險評估計劃,確保配置足夠人力、財力資源,維持穩定、安全的信息科技環境。
加強信息科技基礎設施和業務應用系統建設
村鎮銀行應重視信息科技基礎設施建設,必要時引入符合金融監管要求的云計算資源;信息科技基礎設施應滿足資源共享、便于管理、安全可靠的原則,并符合可擴展和易維護的要求,為各類信息科技應用提供支持和服務。
村鎮銀行信息系統應具備有效支持各項銀行業務開展所需的功能,滿足村鎮銀行發行銀行卡、建立支付結算渠道、發展電子銀行業務、創新金融產品等需求;具備與業務處理要求相匹配的良好性能;對于現代化支付、銀行卡聯網、征信等系統,原則上應實現信息系統集中接入和集約管理。
完善村鎮銀行信息科技開發與運維管理
村鎮銀行應建立健全信息系統開發和運行管理的制度與流程,涵蓋需求管理、項目管理、采購管理、開發管理、測試管理、驗收管理、問題管理和變更管理等內容。
應制定信息系統的運行操作規范,說明系統操作人員的任務、工作日程、執行步驟,并根據信息系統生產變更情況及時修訂;應制定信息系統故障管理流程,明確信息系統故障分類分級、報告路線、應急處置、原因分析等工作流程和管理要求;建立信息系統、網絡、機房環境的實時監控平臺,及時發現、處理問題,盡量減小損失。
制定數據管理制度,村鎮銀行生產數據的所有權歸村鎮銀行,村鎮銀行以外的單位未經授權,不得查詢、使用、變更、銷毀村鎮銀行生產數據。規范數據備份的工作流程和管理要求,明確數據備份介質的安全保存要求,嚴格執行數據備份策略并定期檢查。
加強村鎮銀行的網絡安全管理和信息科技風險管理
村鎮銀行應建立符合等級保護要求的網絡安全管理體系,涵蓋物理安全、網絡安全、系統安全、加密技術、日志管理等內容;村鎮銀行應建立有效的應急管理體系,確保重要信息系統突發事件發生后快速恢復,降低或消除因重要信息系統服務中斷造成的影響和損失;村鎮銀行應重視業務連續性管理,指定綜合管理部門為業務連續性管理主管部門,明確業務連續性管理執行、保障部門,以及業務連續性管理、業務連續性計劃制定、演練與改進等職責。
村鎮銀行應將信息科技風險納入全面風險管理框架,明確信息科技風險管理工作的主管部門,建立與業務發展規劃、經營目標、管理職責相適應的信息科技風險管理策略,有效識別、計量、監測和控制信息科技風險。
加強同業合作,快速可靠地提升科技應用與管理水平
村鎮銀行應綜合評估擬受托同業機構的行業經驗、科技實力和管理能力等,遵循平等、自愿、誠信、互利的原則,委托同業機構承擔村鎮銀行信息科技服務工作,受托同業機構應建立有效的信息科技治理機制,對其承擔的村鎮銀行信息科技工作負有科技風險管理責任,并配合村鎮銀行信息科技審計工作;各簽約方應建立良好的溝通協調機制,應指定部門負責信息科技事項的溝通工作,確保信息科技服務及時、到位。
加強IT外包管理,利用外部資源彌補自身的不足
村鎮銀行由于其自身的開發能力和專業人才方面的局限性,在核心業務系統開發、業務數據管理、網絡安全防護、新技術新渠道應用等方面通過信息科技外包的方式引入外部產品和服務廠商的支持,以克服自身能力的不足。
村鎮銀行應從頂層推動開展信息科技外包管理體系建設,完善外包制度和流程建設,定期對外包管理工作落實情況進行監督,建立信息科技外包管理組織與職責,合理規劃科技外包制度體系框架,形成科技外包制度體系管控模式。
在外包服務實施過程中,村鎮銀行應當對服務提供商的財務、內控及安全管理進行持續監控,關注其因破產、兼并、關鍵人員流失、投入不足和管理不善等因素引發的財務狀況惡化及內部管理混亂等情況,防范外包服務意外終止或服務質量的急劇下降。
總之,村鎮銀行的金融科技安全應從監管層面加強金融科技監管,提升監管科技水平,同時并在村鎮銀行層面提升自身金融科技規劃建設與安全管控的水平,以提供合理的科技治理機制和可靠的科技安全底座,確保村鎮銀行的健康發展。
更多信息可以來這里獲取==>>電子技術應用-AET<<
