第一篇：某銀行信息科技風(fēng)險(xiǎn)識(shí)別與評(píng)估管理辦法

某銀行信息科技風(fēng)險(xiǎn)識(shí)別與評(píng)估管理辦法

第一章

總

則

第一條

為規(guī)范信息科技風(fēng)險(xiǎn)評(píng)估工作，提高某銀行信息科技風(fēng)險(xiǎn)管理水平，促進(jìn)我行業(yè)務(wù)安全、持續(xù)、穩(wěn)健發(fā)展，根據(jù)國(guó)家信息安全法律、法規(guī)及銀行業(yè)信息科技監(jiān)管要求及《某銀行信息科技風(fēng)險(xiǎn)管理策略》，結(jié)合我行風(fēng)險(xiǎn)管理實(shí)際情況，特制定本辦法。

第二條

本辦法屬于信息科技風(fēng)險(xiǎn)類(lèi)“管理辦法”，適用于某銀行信息科技工作全過(guò)程的風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估對(duì)象包括信息科技組織、管理過(guò)程和信息資產(chǎn)。

第三條

信息科技風(fēng)險(xiǎn)，是指信息科技在合規(guī)管理、支持業(yè)務(wù)創(chuàng)新和業(yè)務(wù)運(yùn)營(yíng)過(guò)程中，由于管理流程及資源缺失或不足、人為因素和技術(shù)漏洞產(chǎn)生的操作、法律、聲譽(yù)等風(fēng)險(xiǎn)。

第四條

信息科技風(fēng)險(xiǎn)評(píng)估是指在信息科技風(fēng)險(xiǎn)事件發(fā)生之前或之后（但還沒(méi)有結(jié)束），該事件給信息系統(tǒng)的研發(fā)、生產(chǎn)等各個(gè)方面造成的影響和損失的可能性進(jìn)行量化評(píng)估的工作。

第五條

本辦法所指的信息科技風(fēng)險(xiǎn)類(lèi)型及來(lái)源包括但不限于以下內(nèi)容：

(一)信息科技總體風(fēng)險(xiǎn)是指信息科技在策略、制度、物理環(huán)境、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風(fēng)險(xiǎn)。

(二)信息系統(tǒng)風(fēng)險(xiǎn)是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控及下線(xiàn)過(guò)程中由于技術(shù)和管理缺陷產(chǎn)生的風(fēng)險(xiǎn)。

(三)研發(fā)風(fēng)險(xiǎn)是指信息系統(tǒng)在研發(fā)過(guò)程中組織、規(guī)劃、需求、分析、設(shè)計(jì)、編程、測(cè)試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)。

(四)運(yùn)行維護(hù)風(fēng)險(xiǎn)是指信息系統(tǒng)在運(yùn)行與維護(hù)過(guò)程中訪(fǎng)問(wèn)管理、操作管理、變更管理、機(jī)房管理和事件管理等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)。

(五)外包風(fēng)險(xiǎn)是指本行將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控等委托給業(yè)務(wù)合作伙伴或外部技術(shù)供應(yīng)商時(shí)形成的風(fēng)險(xiǎn)。

第六條

信息科技風(fēng)險(xiǎn)評(píng)估是識(shí)別、計(jì)量、評(píng)價(jià)信息科技風(fēng)險(xiǎn)的活動(dòng)，旨在客觀(guān)反映信息科技對(duì)我行發(fā)展戰(zhàn)略的支撐程度。

第七條

風(fēng)險(xiǎn)評(píng)估應(yīng)遵循“全面覆蓋、突出重點(diǎn)、持續(xù)跟進(jìn)”的原則。

第八條

總行、一級(jí)分行的信息科技風(fēng)險(xiǎn)評(píng)估（含自評(píng)估）工作應(yīng)遵照本辦法執(zhí)行。

第二章

角色分工

第九條

風(fēng)險(xiǎn)評(píng)估可由總行信息科技管理委員會(huì)或一級(jí)分行發(fā)起，承擔(dān)機(jī)構(gòu)是風(fēng)險(xiǎn)管理部，風(fēng)險(xiǎn)管理部負(fù)責(zé)組建風(fēng)險(xiǎn)評(píng)估實(shí) 施團(tuán)隊(duì)。風(fēng)險(xiǎn)評(píng)估實(shí)施團(tuán)隊(duì)由管理層、相關(guān)業(yè)務(wù)和技術(shù)骨干等人員組成，評(píng)估工作角色分為：評(píng)估管理人員、評(píng)估人員、評(píng)估分 析人員。

（一）評(píng)估管理人員由風(fēng)險(xiǎn)管理部信息科技風(fēng)險(xiǎn)管理崗擔(dān)任，負(fù)責(zé)組織、管理、監(jiān)督風(fēng)險(xiǎn)評(píng)估任務(wù)，包括：

1.制定風(fēng)險(xiǎn)評(píng)估任務(wù)計(jì)劃

2.設(shè)計(jì)風(fēng)險(xiǎn)評(píng)估方案

3.審核風(fēng)險(xiǎn)評(píng)估報(bào)告

4.確認(rèn)風(fēng)險(xiǎn)處置建議

5.跟蹤風(fēng)險(xiǎn)評(píng)估任務(wù)進(jìn)度

6.控制風(fēng)險(xiǎn)評(píng)估任務(wù)質(zhì)量

（二）評(píng)估人員負(fù)責(zé)按照風(fēng)險(xiǎn)評(píng)估任務(wù)要求，收集并提供信息和證據(jù)，如實(shí)反映信息科技工作現(xiàn)狀。評(píng)估人員由評(píng)估對(duì)象 所涉及的相關(guān)技術(shù)或業(yè)務(wù)骨干人員擔(dān)任；

（三）評(píng)估分析人員負(fù)責(zé)匯總、整理和分析采集到的信息與證據(jù)材料，編寫(xiě)風(fēng)險(xiǎn)評(píng)估報(bào)告。評(píng)估分析人員由行內(nèi)經(jīng)驗(yàn)豐富的專(zhuān)業(yè)人員擔(dān)任，必要時(shí)可聘請(qǐng)業(yè)內(nèi)專(zhuān)業(yè)人員。

第十條

在同一風(fēng)險(xiǎn)評(píng)估任務(wù)中，評(píng)估實(shí)施團(tuán)隊(duì)成員不少于三人，評(píng)估管理人員和評(píng)估分析人員不得兼任評(píng)估人員。

第三章 風(fēng)險(xiǎn)評(píng)估計(jì)劃

第十一條

總行和一級(jí)分行每年度應(yīng)開(kāi)展一次整體信息科技風(fēng)險(xiǎn)評(píng)估，兩次以上專(zhuān)項(xiàng)信息科技風(fēng)險(xiǎn)評(píng)估。

第十二條

信息科技風(fēng)險(xiǎn)評(píng)估要以信息科技風(fēng)險(xiǎn)監(jiān)測(cè)信息、數(shù)據(jù)以及其他有關(guān)信息為基礎(chǔ)，遵循科學(xué)、透明和個(gè)案處理的原則進(jìn)行。

第十三條

出現(xiàn)以下情況時(shí)，應(yīng)結(jié)合本單位以往風(fēng)險(xiǎn)評(píng)估情況，確定是否啟動(dòng)專(zhuān)項(xiàng)信息科技風(fēng)險(xiǎn)評(píng)估：

（一）新系統(tǒng)上線(xiàn)后或已有系統(tǒng)進(jìn)行重大變更；

（二）信息科技運(yùn)行中發(fā)現(xiàn)重大紕漏或隱患；

（三）內(nèi)部或同業(yè)出現(xiàn)重大信息科技事件；

（四）信息科技審計(jì)中發(fā)現(xiàn)重大問(wèn)題；

（五）監(jiān)管機(jī)構(gòu)發(fā)布風(fēng)險(xiǎn)提示；

（六）其他情況。

第十四條

一級(jí)分行根據(jù)總行風(fēng)險(xiǎn)評(píng)估工作要求，結(jié)合本行實(shí)際情況制定風(fēng)險(xiǎn)評(píng)估計(jì)劃，并報(bào)總行備案。

第四章 風(fēng)險(xiǎn)識(shí)別與評(píng)估方法

第十五條

風(fēng)險(xiǎn)評(píng)估通過(guò)人工評(píng)估或自動(dòng)化工具測(cè)評(píng)等手 段識(shí)別、分析支撐 IT 目標(biāo)的流程和資源中存在的缺失或不足，判斷風(fēng)險(xiǎn)優(yōu)先級(jí)，提出風(fēng)險(xiǎn)處置建議。

第十六條

總行信息科技管理委員會(huì)或一級(jí)分行發(fā)起風(fēng)險(xiǎn)評(píng)估任務(wù)，并下達(dá)任務(wù)書(shū)。評(píng)估管理人員依據(jù)任務(wù)書(shū)組織編寫(xiě)風(fēng)險(xiǎn)評(píng)估任務(wù)計(jì)劃書(shū)和風(fēng)險(xiǎn)評(píng)估方案。

第十七條

評(píng)估管理人員組織人員依據(jù)評(píng)估對(duì)象的業(yè)務(wù)目標(biāo)識(shí)別IT 服務(wù)目標(biāo)，進(jìn)而分析支撐IT 目標(biāo)的流程和資源，并針對(duì)流程要素和資源要素設(shè)計(jì)風(fēng)險(xiǎn)檢查表。

第十八條

評(píng)估人員依據(jù)風(fēng)險(xiǎn)檢查表，采用人工或自動(dòng)化工具對(duì)評(píng)估對(duì)象的信息科技狀況進(jìn)行信息收集。信息收集可采用調(diào)查、檢查、安全測(cè)試等方式：

（一）調(diào)查包括問(wèn)卷調(diào)查、遠(yuǎn)程訪(fǎng)談、現(xiàn)場(chǎng)訪(fǎng)談等；

（二）檢查包括文檔檢查、代碼檢查、流程檢查等；

（三）安全測(cè)試包括人工測(cè)試、自動(dòng)化測(cè)試以及綜合性滲透測(cè)試等。

第十九條

評(píng)估分析人員采用定性或定量的計(jì)算方法，依據(jù)各類(lèi)風(fēng)險(xiǎn)對(duì)實(shí)現(xiàn) IT 目標(biāo)的影響，計(jì)算出評(píng)估對(duì)象的風(fēng)險(xiǎn)優(yōu)先值或級(jí)別，并進(jìn)行分析：

（一）風(fēng)險(xiǎn)成因分析，分析誘發(fā)風(fēng)險(xiǎn)的主觀(guān)因素和客觀(guān)因素。主觀(guān)因素包括流程缺失、控制不足或無(wú)效等；客觀(guān)因素包括資源缺乏、內(nèi)外環(huán)境影響等。

（二）風(fēng)險(xiǎn)占比分析，依據(jù)對(duì)IT 目標(biāo)的影響程度，分析評(píng)估對(duì)象當(dāng)前狀態(tài)下各類(lèi)、各級(jí)風(fēng)險(xiǎn)占比情況；

（三）風(fēng)險(xiǎn)對(duì)比分析，對(duì)同次任務(wù)中不同機(jī)構(gòu)的風(fēng)險(xiǎn)狀態(tài)進(jìn)行對(duì)比，分析各類(lèi)風(fēng)險(xiǎn)在不同機(jī)構(gòu)的分布狀況及影響；

（四）風(fēng)險(xiǎn)趨勢(shì)分析，對(duì)不同時(shí)期的相同任務(wù)結(jié)果進(jìn)行對(duì)比，分析同一風(fēng)險(xiǎn)的增強(qiáng)或減弱情況，了解風(fēng)險(xiǎn)的發(fā)展趨勢(shì)。

第二十條

風(fēng)險(xiǎn)分析可采用以下手段：

（一）專(zhuān)家經(jīng)驗(yàn)；

（二）風(fēng)險(xiǎn)分析模型；

（三）風(fēng)險(xiǎn)分析工具。

第二十一條 評(píng)估分析人員針對(duì)風(fēng)險(xiǎn)評(píng)估任務(wù)中揭示的風(fēng)險(xiǎn)類(lèi)型和狀態(tài)，結(jié)合組織機(jī)構(gòu)、業(yè)務(wù)需求和安全要求，提出風(fēng)險(xiǎn)處置建議，包括降低、轉(zhuǎn)移或消除風(fēng)險(xiǎn)的措施、預(yù)期效果等。

第二十二條 評(píng)估分析人員編寫(xiě)風(fēng)險(xiǎn)評(píng)估報(bào)告，內(nèi)容包括風(fēng)險(xiǎn)評(píng)估任務(wù)描述、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)處置建議等。評(píng)估報(bào)告經(jīng)評(píng)估管理人員審核后提交信息科技管理委員會(huì)。

第二十三條 風(fēng)險(xiǎn)評(píng)估過(guò)程(附件1)分為三個(gè)階段：風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、信息收集和風(fēng)險(xiǎn)識(shí)別分析。

第五章 風(fēng)險(xiǎn)評(píng)估準(zhǔn)備

第二十四條 根據(jù)風(fēng)險(xiǎn)評(píng)估計(jì)劃，總行信息科技管理委員會(huì)或一級(jí)分行提出信息科技風(fēng)險(xiǎn)評(píng)估任務(wù)，編制風(fēng)險(xiǎn)評(píng)估任務(wù)書(shū)（附件 2），明確任務(wù)目標(biāo)、評(píng)估對(duì)象、評(píng)估范圍、任務(wù)起止時(shí)間、風(fēng)險(xiǎn)管理部門(mén)等。

第二十五條 風(fēng)險(xiǎn)管理部組建風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)，指定風(fēng)險(xiǎn)評(píng)估管理人員、風(fēng)險(xiǎn)評(píng)估人員和風(fēng)險(xiǎn)評(píng)估分析人員，并授權(quán)風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)開(kāi)展風(fēng)險(xiǎn)評(píng)估工作。

第二十六條 評(píng)估管理人員組織制定風(fēng)險(xiǎn)評(píng)估任務(wù)計(jì)劃書(shū)（附件 3），明確風(fēng)險(xiǎn)評(píng)估實(shí)施活動(dòng)的計(jì)劃安排，主要包括：

（一）團(tuán)隊(duì)組織：包括成員名單、角色、職責(zé)等內(nèi)容；

（二）工作計(jì)劃：描述各階段的工作安排，包括工作內(nèi)容、時(shí)間進(jìn)度和各階段成果清單等內(nèi)容。

第二十七條 評(píng)估管理人員組織設(shè)計(jì)評(píng)估方案，評(píng)估方案包括風(fēng)險(xiǎn)檢查表（附件4）、信息收集方式、風(fēng)險(xiǎn)分析方法等。

第二十八條 設(shè)計(jì)風(fēng)險(xiǎn)檢查表時(shí)遵循以下過(guò)程：

（一）分析評(píng)估對(duì)象的業(yè)務(wù)目標(biāo)和IT服務(wù)目標(biāo)；

（二）識(shí)別實(shí)現(xiàn)IT 目標(biāo)的工作流程和資源；

（三）識(shí)別影響工作流程和資源中的關(guān)鍵因素，主要考慮各流程要素的活動(dòng)內(nèi)容、關(guān)聯(lián)關(guān)系、流程目的、實(shí)現(xiàn)方式、所需資源等；

（四）根據(jù)關(guān)鍵因素設(shè)計(jì)風(fēng)險(xiǎn)檢查項(xiàng)、檢查指標(biāo)和評(píng)價(jià)權(quán)重，形成風(fēng)險(xiǎn)檢查表。

第二十九條 評(píng)估管理人員通過(guò)風(fēng)險(xiǎn)評(píng)估啟動(dòng)會(huì)等形式啟動(dòng)具體風(fēng)險(xiǎn)評(píng)估工作。

第六章 信息收集

第三十條

評(píng)估管理人員將風(fēng)險(xiǎn)檢查表分發(fā)給評(píng)估人員，并告知信息收集方法及填寫(xiě)要求。

第三十一條 評(píng)估人員通過(guò)調(diào)閱文檔、收集日志、現(xiàn)場(chǎng)訪(fǎng)談、工具測(cè)評(píng)等方式獲取風(fēng)險(xiǎn)評(píng)估所需信息。信息內(nèi)容包括但不限于：IT 制度及執(zhí)行情況、技術(shù)文檔、以往審計(jì)報(bào)告、風(fēng)險(xiǎn)管理報(bào)告、日志記錄、訪(fǎng)談?dòng)涗?、測(cè)試報(bào)告等。

第三十二條 評(píng)估人員根據(jù)采集的信息，填寫(xiě)風(fēng)險(xiǎn)檢查表，并保留證據(jù)。

第三十三條 評(píng)估管理人員督查信息收集進(jìn)展情況，按計(jì)劃收回風(fēng)險(xiǎn)檢查表，并審核填報(bào)信息質(zhì)量。必要時(shí)，可要求評(píng)估人員補(bǔ)充信息和附加證據(jù)。

第三十四條 評(píng)估管理人員將風(fēng)險(xiǎn)檢查表提交評(píng)估分析人員。第七章 風(fēng)險(xiǎn)分析

第三十五條 評(píng)估分析人員按評(píng)估方案確定的風(fēng)險(xiǎn)分析方法對(duì)風(fēng)險(xiǎn)檢查表進(jìn)行匯總、梳理，評(píng)定風(fēng)險(xiǎn)等級(jí)，分析風(fēng)險(xiǎn)成因，提出風(fēng)險(xiǎn)處置建議，形成風(fēng)險(xiǎn)評(píng)估報(bào)告（附件5）。報(bào)告包括但不限于以下內(nèi)容：

（一）風(fēng)險(xiǎn)評(píng)估任務(wù)概述

（二）風(fēng)險(xiǎn)評(píng)估活動(dòng)描述

（三）風(fēng)險(xiǎn)分析，包括總體風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)占比分析、風(fēng)險(xiǎn)對(duì)比分析、風(fēng)險(xiǎn)趨勢(shì)分析

（四）風(fēng)險(xiǎn)成因分析

（五）風(fēng)險(xiǎn)處置建議

（六）詳細(xì)風(fēng)險(xiǎn)列表

第三十六條 評(píng)估分析人員將風(fēng)險(xiǎn)評(píng)估報(bào)告提交評(píng)估管理人員。

第三十七條 評(píng)估管理人員定期督查風(fēng)險(xiǎn)分析進(jìn)展情況，指導(dǎo)風(fēng)險(xiǎn)分析工作，組織審核風(fēng)險(xiǎn)評(píng)估報(bào)告，形成正式報(bào)告提交風(fēng)險(xiǎn)管理部負(fù)責(zé)人。

第三十八條 風(fēng)險(xiǎn)管理部將風(fēng)險(xiǎn)評(píng)估報(bào)告上報(bào)信息科技管理委員會(huì)，并通過(guò)風(fēng)險(xiǎn)評(píng)估任務(wù)總結(jié)會(huì)等形式，通報(bào)風(fēng)險(xiǎn)評(píng)估情況。

第三十九條 風(fēng)險(xiǎn)管理部將風(fēng)險(xiǎn)評(píng)估資料歸檔管理。

第八章

附則

第四十條

本管理辦法由某銀行總行制定并負(fù)責(zé)解釋和修訂。

第四十一條 本管理辦法自發(fā)布之日起執(zhí)行。

第二篇：村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理辦法

村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理辦法

（征求意見(jiàn)稿）

第一章 總 則

第一條 為加強(qiáng)村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理，確?？萍俭w系持續(xù)穩(wěn)定運(yùn)轉(zhuǎn)，根據(jù)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》等有關(guān)法律、法規(guī)，制定本辦法。

第二條 信息科技風(fēng)險(xiǎn)管理是通過(guò)建立有效機(jī)制，實(shí)現(xiàn)對(duì)銀行信息系統(tǒng)風(fēng)險(xiǎn)的識(shí)別、計(jì)量、評(píng)價(jià)、預(yù)警和控制，推動(dòng)村鎮(zhèn)銀行業(yè)務(wù)創(chuàng)新，提高信息化管理水平，保障村鎮(zhèn)銀行業(yè)務(wù)持續(xù)平穩(wěn)發(fā)展。

第二章 信息科技風(fēng)險(xiǎn)管理組織架構(gòu)

第三條 信息科技風(fēng)險(xiǎn)是指信息系統(tǒng)在規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控及退出過(guò)程中由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。

第四條

發(fā)起行科技信息中心是村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)的主要管理部門(mén)，發(fā)起行科技信息中心有以下信息科技風(fēng)險(xiǎn)管理的權(quán)限和職責(zé)：

（一）建立有效的信息科技風(fēng)險(xiǎn)管理管理架構(gòu)，完善內(nèi)部組織結(jié)構(gòu)和工作機(jī)制，防范和控制信息科技風(fēng)險(xiǎn)管理；

（二）貫徹執(zhí)行國(guó)家有關(guān)信息系統(tǒng)相關(guān)法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)，落實(shí)人民銀行和銀監(jiān)會(huì)相關(guān)監(jiān)管要求；

（三）履行村鎮(zhèn)銀行信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)和管理職責(zé)，建立、健全村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理相關(guān)規(guī)章、制度，并嚴(yán)格執(zhí)行；

（四）負(fù)責(zé)村鎮(zhèn)銀行信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)和監(jiān)控等工作，提供村鎮(zhèn)銀行信息系統(tǒng)日常信息服務(wù)和運(yùn)行技術(shù)支持；

（五）負(fù)責(zé)指導(dǎo)和監(jiān)督村鎮(zhèn)銀行科技部門(mén)落實(shí)有關(guān)信息科技風(fēng)險(xiǎn)管理的各項(xiàng)規(guī)章制度；

（六）發(fā)起行科技信息中心安全科是村鎮(zhèn)銀行信息科技風(fēng)險(xiǎn)管理的牽頭部門(mén),發(fā)起行科技信息中心各科室按其職責(zé)范圍承擔(dān)相應(yīng)工作。

第三章 信息科技風(fēng)險(xiǎn)具體控制要求

第五條 信息科技總體風(fēng)險(xiǎn)點(diǎn)是指信息系統(tǒng)在策略、制度、機(jī)房、軟件、硬件、網(wǎng)絡(luò)、數(shù)據(jù)、文檔等方面影響全局或共有的風(fēng)險(xiǎn)。包括以下風(fēng)險(xiǎn)點(diǎn)：

（一）缺少信息系統(tǒng)風(fēng)險(xiǎn)管理策略；

（二）自然災(zāi)害、運(yùn)行環(huán)境變化；

（三）信息系統(tǒng)相關(guān)規(guī)章制度、技術(shù)規(guī)范、操作規(guī)程不完善；

（四）信息安全標(biāo)準(zhǔn)化工作不符合國(guó)家相關(guān)規(guī)定；

（五）缺乏信息安全風(fēng)險(xiǎn)評(píng)估機(jī)制；

（六）數(shù)據(jù)中心機(jī)房物理安全；

（七）使用盜版軟件及自有成果的知識(shí)產(chǎn)權(quán)保護(hù)；

（八）電子設(shè)備自身運(yùn)行；

（九）主機(jī)與網(wǎng)絡(luò)運(yùn)行；

（十）網(wǎng)絡(luò)安全；

（十一）密碼安全；

（十二）數(shù)據(jù)加密安全；

（十三）信息系統(tǒng)配置參數(shù)管理；

（十四）數(shù)據(jù)管理；

（十五）突發(fā)事件響應(yīng)；

（十六）信息系統(tǒng)故障導(dǎo)致影響銀行信譽(yù)；（十七）網(wǎng)上銀行安全。

第六條 信息系統(tǒng)總體風(fēng)險(xiǎn)控制措施：

（一）根據(jù)村鎮(zhèn)銀行信息系統(tǒng)總體規(guī)劃，在村鎮(zhèn)銀行風(fēng)險(xiǎn)管理政策指引下，制定明確、持續(xù)的信息系統(tǒng)風(fēng)險(xiǎn)管理策略，根據(jù)信息系統(tǒng)的等級(jí)保護(hù)級(jí)別對(duì)信息系統(tǒng)進(jìn)行分析和評(píng)估，并實(shí)施有效的風(fēng)險(xiǎn)控制；

（二）建立同城信息系統(tǒng)災(zāi)備中心實(shí)現(xiàn)運(yùn)行環(huán)境備份，防止各類(lèi)突發(fā)事故和惡意攻擊事件造成不良后果；

（三）建立健全相關(guān)信息科技制度，明確信息系統(tǒng)相關(guān)人員的職責(zé)權(quán)限，建立制約機(jī)制，實(shí)行最小授權(quán)；

（四）嚴(yán)格執(zhí)行國(guó)家信息安全相關(guān)標(biāo)準(zhǔn)，參照有關(guān)國(guó)際準(zhǔn)則，積極推進(jìn)信息安全標(biāo)準(zhǔn)化，開(kāi)展信息安全等級(jí)保護(hù)等相關(guān)工作；

（五）加強(qiáng)對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估，及時(shí)對(duì)風(fēng)險(xiǎn)點(diǎn)進(jìn)行修補(bǔ)和完善，以保證信息系統(tǒng)的安全性和完整性；

（六）信息系統(tǒng)數(shù)據(jù)中心機(jī)房建設(shè)時(shí)嚴(yán)格參照國(guó)家有關(guān)計(jì)算機(jī)場(chǎng)地、環(huán)境、供配電等技術(shù)標(biāo)準(zhǔn)，數(shù)據(jù)中心機(jī)房實(shí)行嚴(yán)格的門(mén)禁管理措施，未經(jīng)授權(quán)不得進(jìn)入；

（七）加強(qiáng)知識(shí)產(chǎn)權(quán)保護(hù)，使用正版軟件，加強(qiáng)軟件版本管理；積極研發(fā)具有自主知識(shí)產(chǎn)權(quán)的信息系統(tǒng)和相關(guān)金融產(chǎn)品，并采取有效措施保護(hù)村鎮(zhèn)銀行信息化成果；

（八）嚴(yán)格執(zhí)行與銀行信息系統(tǒng)相關(guān)的電子設(shè)備的選型、購(gòu)置、登記、保養(yǎng)、維修、報(bào)廢等相關(guān)規(guī)程，選用的設(shè)備應(yīng)經(jīng)過(guò)技術(shù)論證，測(cè)試性能應(yīng)符合國(guó)家有關(guān)標(biāo)準(zhǔn)。信息系統(tǒng)所用的服務(wù)器等關(guān)鍵設(shè)備應(yīng)具有較高的可靠性、充足的容量和一定的容錯(cuò)特性，并配置適當(dāng)數(shù)量的備品、備件；

（九）嚴(yán)格參照相關(guān)標(biāo)準(zhǔn)和規(guī)范設(shè)計(jì)、建設(shè)信息系統(tǒng)網(wǎng)絡(luò)；網(wǎng)絡(luò)設(shè)備應(yīng)兼?zhèn)浼夹g(shù)先進(jìn)性和產(chǎn)品成熟性；關(guān)鍵網(wǎng)絡(luò)設(shè)備和線(xiàn)路應(yīng)有冗余備份；嚴(yán)格線(xiàn)路租用合同管理，按照業(yè)務(wù)和交易流量要

求保證傳輸帶寬；監(jiān)測(cè)和管理通信線(xiàn)路及網(wǎng)絡(luò)設(shè)備，保障網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行；

（十）加強(qiáng)網(wǎng)絡(luò)安全管理。嚴(yán)格網(wǎng)絡(luò)邊界控制，使用各種技術(shù)手段降低外部攻擊、信息泄漏等風(fēng)險(xiǎn)；

（十一）加強(qiáng)信息系統(tǒng)加密機(jī)、密鑰、密碼、加解密程序等安全要素的管理，使用符合國(guó)家安全標(biāo)準(zhǔn)的密碼設(shè)備，完善安全要素生成、領(lǐng)取、使用、修改、保管和銷(xiāo)毀等環(huán)節(jié)管理制度；

（十二）加強(qiáng)數(shù)據(jù)采集、存貯、傳輸、使用、備份、恢復(fù)、抽檢、清理、銷(xiāo)毀等環(huán)節(jié)的管理；優(yōu)化系統(tǒng)和數(shù)據(jù)庫(kù)安全設(shè)置，嚴(yán)格按授權(quán)使用信息系統(tǒng)和數(shù)據(jù)庫(kù)，采用適當(dāng)?shù)臄?shù)據(jù)加密技術(shù)以保護(hù)敏感數(shù)據(jù)的傳輸和存取，以保證數(shù)據(jù)的完整性、保密性；

（十三）對(duì)信息系統(tǒng)配置參數(shù)實(shí)施嚴(yán)格的安全與保密管理，防止非法生成、變更、泄漏、丟失與破壞。根據(jù)敏感程度和用途，確定存取權(quán)限、方式和授權(quán)使用范圍，并嚴(yán)格審批和登記手續(xù)；

（十四）制定信息系統(tǒng)相關(guān)應(yīng)急預(yù)案，并定期進(jìn)行演練、評(píng)審和修訂；

（十五）加強(qiáng)對(duì)技術(shù)文檔資料和重要數(shù)據(jù)的備份管理；技術(shù)文檔資料和重要數(shù)據(jù)應(yīng)保留副本并異地存放，按規(guī)定年限保存，調(diào)用時(shí)應(yīng)嚴(yán)格授權(quán)管理；

（十六）在信息系統(tǒng)可能影響客戶(hù)服務(wù)時(shí)，及時(shí)通知業(yè)務(wù)部門(mén)，以便以適當(dāng)方式告知客戶(hù)；

（十七）采取有效技術(shù)措施，切實(shí)加強(qiáng)網(wǎng)上銀行信息安全保

障。加強(qiáng)網(wǎng)銀用戶(hù)身份認(rèn)證管理，與業(yè)務(wù)部門(mén)密切配合，逐步對(duì)所有網(wǎng)上銀行高風(fēng)險(xiǎn)賬戶(hù)操作統(tǒng)一使用雙重身份認(rèn)證。積極研發(fā)和應(yīng)用各類(lèi)維護(hù)網(wǎng)上銀行使用安全的技術(shù)和手段，保證安全技術(shù)和管理水平能夠持續(xù)適應(yīng)網(wǎng)上銀行業(yè)務(wù)發(fā)展的安全要求。

第七條

信息科技研發(fā)風(fēng)險(xiǎn)的操作風(fēng)險(xiǎn)點(diǎn)是指信息系統(tǒng)在研發(fā)過(guò)程中組織、規(guī)劃、需求、分析、設(shè)計(jì)、編程、測(cè)試和投產(chǎn)等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)。包括以下風(fēng)險(xiǎn)點(diǎn)：

（一）信息系統(tǒng)項(xiàng)目研發(fā)管理；

（二）信息系統(tǒng)項(xiàng)目開(kāi)發(fā)人員外包；

（三）信息系統(tǒng)項(xiàng)目需求不明確；

（四）信息系統(tǒng)測(cè)試不規(guī)范或不完善；

（五）信息系統(tǒng)應(yīng)用推廣；

（六）信息系統(tǒng)測(cè)試發(fā)現(xiàn)的軟件缺陷；

（七）信息系統(tǒng)項(xiàng)目文檔管理；

（八）信息系統(tǒng)項(xiàng)目驗(yàn)收。

第八條

信息科技研發(fā)風(fēng)險(xiǎn)具體控制要求：

（一）一般項(xiàng)目研發(fā)成立項(xiàng)目工作小組，重大項(xiàng)目還應(yīng)成立項(xiàng)目領(lǐng)導(dǎo)小組，并指定負(fù)責(zé)人。項(xiàng)目領(lǐng)導(dǎo)小組負(fù)責(zé)項(xiàng)目的組織、協(xié)調(diào)、檢查、監(jiān)督工作。項(xiàng)目工作小組由業(yè)務(wù)人員、技術(shù)人員和管理人員組成，具體負(fù)責(zé)整個(gè)項(xiàng)目的開(kāi)發(fā)工作；

（二）項(xiàng)目工作小組人員應(yīng)具備與項(xiàng)目要求相適應(yīng)的業(yè)務(wù)經(jīng)驗(yàn)與專(zhuān)業(yè)技術(shù)知識(shí)，小組負(fù)責(zé)人需具備組織領(lǐng)導(dǎo)能力，保證信息

系統(tǒng)研發(fā)質(zhì)量和進(jìn)度；

（三）項(xiàng)目組根據(jù)業(yè)務(wù)部門(mén)項(xiàng)目需求編制項(xiàng)目功能說(shuō)明書(shū)，依據(jù)項(xiàng)目功能說(shuō)明書(shū)分別編寫(xiě)項(xiàng)目總體技術(shù)框架、項(xiàng)目設(shè)計(jì)說(shuō)明書(shū)，設(shè)計(jì)和編碼應(yīng)符合項(xiàng)目功能說(shuō)明書(shū)的要求；

（四）軟件研發(fā)必須建立獨(dú)立的測(cè)試環(huán)境，以保證測(cè)試的完整性和準(zhǔn)確性。一般測(cè)試應(yīng)包括功能測(cè)試、安全性測(cè)試、壓力測(cè)試、驗(yàn)收測(cè)試等，測(cè)試不得直接使用生產(chǎn)數(shù)據(jù)；

（五）研發(fā)人員必須根據(jù)測(cè)試結(jié)果修補(bǔ)信息系統(tǒng)的功能和缺陷，提高信息系統(tǒng)的整體質(zhì)量；

（六）根據(jù)職責(zé)范圍配合業(yè)務(wù)人員分別編寫(xiě)操作說(shuō)明書(shū)、技術(shù)應(yīng)急方案、業(yè)務(wù)連續(xù)性計(jì)劃、投產(chǎn)計(jì)劃、應(yīng)急回退計(jì)劃，并進(jìn)行演練；

（七）開(kāi)發(fā)過(guò)程中所涉及的各種文檔資料應(yīng)經(jīng)相關(guān)部門(mén)、人員的簽字確認(rèn)并歸檔保存；

（八）軟件開(kāi)發(fā)項(xiàng)目必須進(jìn)行嚴(yán)格的項(xiàng)目驗(yàn)收流程，項(xiàng)目驗(yàn)收應(yīng)出具由相關(guān)負(fù)責(zé)人簽字的項(xiàng)目驗(yàn)收?qǐng)?bào)告，驗(yàn)收不合格不得投入使用。

第九條 信息科技運(yùn)行維護(hù)風(fēng)險(xiǎn)的操作風(fēng)險(xiǎn)點(diǎn)是指信息系統(tǒng)在運(yùn)行與維護(hù)過(guò)程中操作管理、變更管理、機(jī)房管理和事件管理等環(huán)節(jié)產(chǎn)生的風(fēng)險(xiǎn)。包括以下風(fēng)險(xiǎn)點(diǎn)：

（一）人為因素導(dǎo)致信息系統(tǒng)運(yùn)行故障；

（二）運(yùn)行管理不完善；

（三）信息系統(tǒng)日常變更；

（四）新建信息系統(tǒng)運(yùn)行；

（五）機(jī)房環(huán)境變化；

（六）信息系統(tǒng)故障報(bào)告程序。

第十條 信息科技運(yùn)行維護(hù)風(fēng)險(xiǎn)具體控制要求：

（一）信息系統(tǒng)運(yùn)行人員應(yīng)實(shí)行專(zhuān)職，不得由其他人員兼任。運(yùn)行人員應(yīng)按操作規(guī)程巡檢和操作。對(duì)生產(chǎn)狀態(tài)的軟硬件、數(shù)據(jù)進(jìn)行維護(hù)應(yīng)符合授權(quán)和維護(hù)規(guī)程要求；

（二）相關(guān)信息系統(tǒng)運(yùn)行維護(hù)人員嚴(yán)格按照信息系統(tǒng)管理制度及維護(hù)手冊(cè)運(yùn)行及維護(hù)信息系統(tǒng)。對(duì)軟件或數(shù)據(jù)的維護(hù)必須通過(guò)上級(jí)審批、授權(quán)后方可進(jìn)行；

（三）制訂嚴(yán)格的信息系統(tǒng)變更處理流程，明確變更流程中各崗位的職責(zé)分工，并遵循流程實(shí)施控制和管理；

（四）在信息系統(tǒng)投產(chǎn)后一定時(shí)期內(nèi)，應(yīng)配合業(yè)務(wù)部門(mén)，積極參與組織對(duì)系統(tǒng)的后評(píng)價(jià)，根據(jù)評(píng)價(jià)及時(shí)對(duì)系統(tǒng)功能進(jìn)行調(diào)整和優(yōu)化；

（五）對(duì)機(jī)房環(huán)境設(shè)施實(shí)行日常巡檢，明確信息系統(tǒng)及機(jī)房環(huán)境設(shè)施出現(xiàn)故障時(shí)的應(yīng)急處理流程和預(yù)案；

（六）實(shí)行事件報(bào)告制度，發(fā)生信息系統(tǒng)造成重大經(jīng)濟(jì)、聲譽(yù)損失和重大影響事件，應(yīng)即時(shí)上報(bào)并處理，必要時(shí)啟動(dòng)應(yīng)急處理預(yù)案。

第十一條

信息科技外包風(fēng)險(xiǎn)的操作風(fēng)險(xiǎn)點(diǎn)外包風(fēng)險(xiǎn)是指

銀行將信息系統(tǒng)的規(guī)劃、研發(fā)、建設(shè)、運(yùn)行、維護(hù)、監(jiān)控等委托給業(yè)務(wù)合作伙伴或外部技術(shù)供應(yīng)商時(shí)形成的風(fēng)險(xiǎn)。包括以下風(fēng)險(xiǎn)點(diǎn)：

（一）信息科技外包需求控制風(fēng)險(xiǎn)；

（二）信息科技外包承包方合作風(fēng)險(xiǎn)；

（三）信息科技外包項(xiàng)目商業(yè)風(fēng)險(xiǎn)；

（四）信息科技外包項(xiàng)目安全風(fēng)險(xiǎn)；

（五）信息科技外包項(xiàng)目質(zhì)量風(fēng)險(xiǎn)；

（六）信息科技外包項(xiàng)目風(fēng)險(xiǎn)管理；

（七）信息科技外包項(xiàng)目責(zé)任風(fēng)險(xiǎn)；（入）信息科技外包項(xiàng)目監(jiān)控風(fēng)險(xiǎn)。

第十二條 信息科技外包風(fēng)險(xiǎn)具體控制要求：

（一）在進(jìn)行信息系統(tǒng)外包時(shí)，應(yīng)根據(jù)風(fēng)險(xiǎn)控制和實(shí)際需要，合理確定外包的原則和范圍，認(rèn)真分析和評(píng)估外包存在的潛在風(fēng)險(xiǎn)，建立健全相關(guān)規(guī)章制度，制定相應(yīng)的風(fēng)險(xiǎn)防范措施；

（二）建立健全外包承包方評(píng)估機(jī)制，充分審查、評(píng)估承包方的經(jīng)營(yíng)狀況、財(cái)務(wù)實(shí)力、誠(chéng)信歷史、安全資質(zhì)、技術(shù)服務(wù)能力和實(shí)際風(fēng)險(xiǎn)控制與責(zé)任承擔(dān)水平，并進(jìn)行必要的盡職情況調(diào)查。評(píng)估工作可委托具有國(guó)家相應(yīng)監(jiān)管部門(mén)認(rèn)定資質(zhì)、具有相關(guān)專(zhuān)業(yè)經(jīng)驗(yàn)的獨(dú)立機(jī)構(gòu)完成；

（三）與承包方簽訂書(shū)面合同，明確雙方的權(quán)利、義務(wù)，并規(guī)定承包方在安全、保密、知識(shí)產(chǎn)權(quán)方面的義務(wù)和責(zé)任；

（四）充分認(rèn)識(shí)外包服務(wù)對(duì)信息系統(tǒng)風(fēng)險(xiǎn)控制的直接和間接

影響，并將其納入總體安全策略和風(fēng)險(xiǎn)控制之中；

（五）建立完整的信息系統(tǒng)外包風(fēng)險(xiǎn)評(píng)估與檢測(cè)程序，審查管理外包產(chǎn)生的風(fēng)險(xiǎn)，提高本機(jī)構(gòu)的外包管理的能力；

（六）信息系統(tǒng)外包風(fēng)險(xiǎn)管理應(yīng)符合風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)和策略，并建立針對(duì)信息系統(tǒng)外包風(fēng)險(xiǎn)的應(yīng)急計(jì)劃；

（七）與信息系統(tǒng)外包承包方建立有效的聯(lián)絡(luò)、溝通和信息交流機(jī)制，并制定在意外情況下能夠?qū)崿F(xiàn)承包方的順利變更辦法，保證信息系統(tǒng)外包服務(wù)不間斷的應(yīng)急預(yù)案；

（八）對(duì)信息系統(tǒng)外包承包方進(jìn)行持續(xù)的監(jiān)控。

第四章 附 則

第十三條 各支行可依據(jù)本辦法，結(jié)合本單位實(shí)際情況，制定具體實(shí)施細(xì)則。

第十四條 本辦法由村鎮(zhèn)銀行負(fù)責(zé)解釋和修訂。第十五條 本規(guī)定自印發(fā)之日起施行。

第三篇：銀行風(fēng)險(xiǎn)的識(shí)別、評(píng)估與內(nèi)部控制

銀行風(fēng)險(xiǎn)的識(shí)別、評(píng)估與內(nèi)部控制

Bank Risks'Identification，Assessment And Internal Control

楊海群

按語(yǔ)

本文原載于法律出版社2006年出版2007年再版的書(shū)《金融審判與銀行債權(quán)保護(hù)》。文中的圖示和注釋等因?yàn)榫W(wǎng)絡(luò)格式轉(zhuǎn)換而未加。希望讀者進(jìn)一步閱讀作者的專(zhuān)著《公司治理與銀行控制》下卷中“加強(qiáng)選配評(píng)審，防止領(lǐng)導(dǎo)風(fēng)險(xiǎn)”這一章。

“銀行風(fēng)險(xiǎn)的識(shí)別、評(píng)估與內(nèi)部控制”這個(gè)題目涉及兩方面：一方面涉及的是風(fēng)險(xiǎn)管理，另一方面涉及內(nèi)部控制。不管是法律工作者還是銀行的管理者，都會(huì)遇到下面要提出來(lái)的問(wèn)題，就是怎么來(lái)處理業(yè)務(wù)發(fā)展和管理控制的關(guān)系，怎么在實(shí)現(xiàn)戰(zhàn)略目標(biāo)的過(guò)程中，一方面把握住我們自己，另一方面也把握住我們所領(lǐng)導(dǎo)的團(tuán)隊(duì)？另外，怎么防止銀行的工作人員或者業(yè)務(wù)活動(dòng)失去控制？搞法律的人員不如搞經(jīng)營(yíng)管理的涉入那么多的具體業(yè)務(wù)，但是由于你們是銀行的法律工作者，所以就不能夠站在一般律師的服務(wù)角度去服務(wù)于銀行。因?yàn)槟銈円呀?jīng)加入了銀行的管理隊(duì)伍。今年銀監(jiān)會(huì)和黨中央提出銀行管理要滿(mǎn)足四個(gè)條件：第一個(gè)叫資本充足，就是銀行要保證有足夠的資本金；第二個(gè)內(nèi)控要嚴(yán)密，還不是一般的內(nèi)部管理，而是內(nèi)部控制要嚴(yán)密；第三個(gè)運(yùn)營(yíng)要安全，實(shí)際上運(yùn)營(yíng)安全也是要在前兩者的基礎(chǔ)之上才能實(shí)現(xiàn)；第四個(gè)服務(wù)和效益要好，沒(méi)有安全，也不可能服務(wù)好或者說(shuō)令客戶(hù)滿(mǎn)意，服務(wù)差也不可能把效益搞上去。這是銀監(jiān)會(huì)《關(guān)于中國(guó)銀行、中國(guó)建設(shè)銀行公司治理改革與監(jiān)管指引》文件很明確地提出來(lái)的要求。中行和建行要重組上市，就要實(shí)現(xiàn)銀監(jiān)會(huì)提出的四個(gè)要求?？峙罗r(nóng)行和工行下一步也要遇到這個(gè)問(wèn)題，也準(zhǔn)備在中行和建行上市成功之后，經(jīng)歷這個(gè)過(guò)程。我們這兩家銀行先試一試，估計(jì)在上市過(guò)程中會(huì)有更多的難題。

我們研究一個(gè)問(wèn)題總是要抓住一些本質(zhì)性的東西。有一個(gè)美國(guó)的企業(yè)家寫(xiě)了一本書(shū)叫《基業(yè)常青》，他把一個(gè)一般的企業(yè)發(fā)展成比較大的企業(yè)，積累了一些經(jīng)驗(yàn)，他的書(shū)里面有這么一句話(huà)：“偉大的公司要想生存，必須擁有一個(gè)持久的觀(guān)念，這個(gè)觀(guān)念必須從屬于整個(gè)公司。即使有遠(yuǎn)見(jiàn)的領(lǐng)導(dǎo)人與世長(zhǎng)辭以后，這種所謂的觀(guān)念也會(huì)永存。這種觀(guān)念并不是圍繞某個(gè)人或者一個(gè)整體，而是圍繞一個(gè)決定公司發(fā)展目標(biāo)的思想體系建立起來(lái)。有遠(yuǎn)見(jiàn)的公司，之所以能夠成功，原因就在于無(wú)論發(fā)生什么變化，它們的核心觀(guān)念毫不動(dòng)搖?！彼f(shuō)得很深刻，他說(shuō)：“只有從過(guò)眼煙云的變革中看到背后永恒的管理法則，人們才能真正了解到偉大公司的偉大之處?！蔽乙苍谙脒@個(gè)問(wèn)題，中國(guó)銀行偉大不偉大？90多年的歷史，應(yīng)該是一個(gè)偉大的公司，但是這個(gè)偉大公司的偉大之處怎么體現(xiàn)呢？那就看我們能不能建立和遵循我們的公司治理法則。所以我認(rèn)為內(nèi)部控制很重要，實(shí)際上內(nèi)控原理是一種管理法則，我們通過(guò)研究?jī)?nèi)部控制的理論來(lái)轉(zhuǎn)變我們的經(jīng)營(yíng)觀(guān)念，來(lái)增強(qiáng)控制意識(shí)，提高管理水平，這恰恰就是我國(guó)的國(guó)有銀行向商業(yè)銀行轉(zhuǎn)變和上市的基本前提。我把它識(shí)為一種基本前提，那就是說(shuō)我不認(rèn)為只要一個(gè)銀行能夠跑到股票市場(chǎng)上去，在那里銷(xiāo)售我們的股票，來(lái)套股民的錢(qián)，我們就是一個(gè)公司治理機(jī)制良好的銀行。因?yàn)樗鲜谐晒Φ那疤崾紫纫邆漭^多的控制意識(shí)，有較好的管理水平。其實(shí)巴塞爾委員會(huì)對(duì)這個(gè)問(wèn)題也是提出了很高的要求，把它強(qiáng)調(diào)到一個(gè)很重要的地位。一個(gè)有效的內(nèi)部控制系統(tǒng)是銀行管理的關(guān)鍵內(nèi)容，是銀行組織機(jī)構(gòu)安全和良好運(yùn)營(yíng)的關(guān)鍵，這是巴塞爾委員會(huì)提出的要求。一個(gè)強(qiáng)有力的內(nèi)控系統(tǒng)，能夠幫助確保銀行機(jī)構(gòu)的目標(biāo)和目的的實(shí)現(xiàn)，使得銀行取得長(zhǎng)期的利潤(rùn)目標(biāo)，維護(hù)財(cái)務(wù)報(bào)告和管理報(bào)告的可靠性，并且確保銀行遵循法律和規(guī)章制度，以及一系列政策、計(jì)劃、內(nèi)部規(guī)定和程序，減少始料不及的損失和有損銀行聲譽(yù)的風(fēng)險(xiǎn)。為了強(qiáng)調(diào)內(nèi)控，我重點(diǎn)介紹下面四個(gè)方面的問(wèn)題： 第一，是介紹內(nèi)部控制理論已經(jīng)解決的問(wèn)題。第二，從我在中行的新體驗(yàn)來(lái)看看我們國(guó)家銀行內(nèi)部控制的發(fā)展。第三，我們對(duì)銀行當(dāng)前內(nèi)部的控制問(wèn)題進(jìn)行初步的研究。第四，提出一些政策建議僅供大家參考。

一、內(nèi)控理論已經(jīng)說(shuō)明的問(wèn)題

我們?cè)谔岬姐y行的管理、銀行的控制這樣一個(gè)題目的時(shí)候，我覺(jué)得搞法律的人員不是那么熟悉，因?yàn)槲以谥袊?guó)銀行，法律工作人員大都很年輕，在管理學(xué)上、在銀行的控制理論上，還是缺乏知識(shí)的，這里有知識(shí)的結(jié)構(gòu)問(wèn)題。所以很有必要來(lái)探討一下內(nèi)部控制的理論。

首先內(nèi)部控制的理論已經(jīng)明確了內(nèi)控在銀行中間的地位。任何一個(gè)組織要維護(hù)它良好的職能機(jī)構(gòu)都必須認(rèn)真對(duì)待四個(gè)問(wèn)題：第一個(gè)就是治理問(wèn)題，包括銀監(jiān)會(huì)經(jīng)常說(shuō)的公司治理機(jī)制；第二個(gè)就是風(fēng)險(xiǎn)管理；第三個(gè)叫內(nèi)部控制；第四個(gè)叫保障措施。首先明確一下概念。中央領(lǐng)導(dǎo)、國(guó)務(wù)院領(lǐng)導(dǎo)經(jīng)常說(shuō)公司治理，到底公司治理是干什么的？是研究什么的？我有一次到德國(guó)開(kāi)國(guó)際會(huì)議，與美國(guó)的一個(gè)高級(jí)審計(jì)官員探討過(guò)這個(gè)問(wèn)題。公司治理的核心問(wèn)題是如何委托資源以便于實(shí)施某項(xiàng)任務(wù)。再說(shuō)得明白一點(diǎn)，就是找什么人來(lái)做這個(gè)銀行行長(zhǎng)和各級(jí)經(jīng)管人員，以便于把商業(yè)銀行的各項(xiàng)業(yè)務(wù)做好。找誰(shuí)?是找王雪冰還是找其他人？為什么找王雪冰？他出了問(wèn)題，怎么才能找到另一個(gè)人不出問(wèn)題或者少出問(wèn)題？公司治理就是找誰(shuí)當(dāng)行長(zhǎng)，找什么人當(dāng)總經(jīng)理和各級(jí)經(jīng)管人員。像中國(guó)銀行大約有200位總行高管干部，包括行長(zhǎng)，找誰(shuí)擔(dān)任這樣的職務(wù)，要明確誰(shuí)來(lái)干，明確誰(shuí)承擔(dān)這個(gè)責(zé)任，看看他們?cè)趺闯袚?dān)這個(gè)責(zé)任。這叫公司治理。

風(fēng)險(xiǎn)管理是什么呢？風(fēng)險(xiǎn)管理是一種程序，它要識(shí)別風(fēng)險(xiǎn)，評(píng)估風(fēng)險(xiǎn)，并針對(duì)風(fēng)險(xiǎn)來(lái)制定相應(yīng)對(duì)策。商業(yè)銀行里都有一個(gè)部叫做風(fēng)險(xiǎn)管理部，在銀行，風(fēng)險(xiǎn)管理部是很重要的部，這個(gè)部干什么呢？它要分析銀行運(yùn)用資產(chǎn)有什么樣的風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)究竟有多大，銀行可接受的風(fēng)險(xiǎn)的水平有多高，然后銀行既然有這么多的風(fēng)險(xiǎn)，采取什么政策對(duì)付這些風(fēng)險(xiǎn)，這叫風(fēng)險(xiǎn)管理。

內(nèi)控是干什么的？?jī)?nèi)部控制是公司的核心管理內(nèi)容，它是公司通過(guò)治理來(lái)實(shí)現(xiàn)公司目標(biāo)的有力手段。銀行通過(guò)風(fēng)險(xiǎn)管理發(fā)現(xiàn)了風(fēng)險(xiǎn)，認(rèn)定了風(fēng)險(xiǎn)，評(píng)價(jià)了風(fēng)險(xiǎn)，并且制定了風(fēng)險(xiǎn)應(yīng)對(duì)的對(duì)策，之后怎么辦？要采取一系列措施和經(jīng)營(yíng)管理程序加強(qiáng)內(nèi)部控制，防范風(fēng)險(xiǎn)。

另外，還有一個(gè)確保反饋的系統(tǒng)，這是一個(gè)通過(guò)交流反饋和咨詢(xún)來(lái)促進(jìn)上面三項(xiàng)內(nèi)容能夠順利開(kāi)展的程序。就是保證上面能夠開(kāi)展這些活動(dòng)。我在我的《公司治理與銀行控制》這本書(shū)上就描繪了一張圖說(shuō)明上述四種治理機(jī)制的相互關(guān)系，現(xiàn)在銀行領(lǐng)導(dǎo)也好，中央領(lǐng)導(dǎo)也好，經(jīng)常講這幾個(gè)概念，但是我們需要把它們界定清楚。

如果你要經(jīng)營(yíng)一個(gè)企業(yè)，開(kāi)一個(gè)銀行，首先得有一個(gè)目標(biāo)，這個(gè)目標(biāo)確定了之后，靠什么來(lái)管風(fēng)險(xiǎn)？一個(gè)靠公司治理，找一些人——可靠的人、能干的人，把他們叫來(lái)，安排他們工作。然后組織其中一部分人來(lái)分析，我要實(shí)現(xiàn)這些目標(biāo)，有哪些風(fēng)險(xiǎn)，怎么對(duì)付這些風(fēng)險(xiǎn)，制定風(fēng)險(xiǎn)政策。然后要有大量的人在操作的層面和管理的層面實(shí)行內(nèi)部控制。把這些活動(dòng)通過(guò)一個(gè)確認(rèn)反饋系統(tǒng)，最終實(shí)現(xiàn)公司目標(biāo)，就是資本充足、內(nèi)控嚴(yán)密、運(yùn)營(yíng)安全、服務(wù)和良好效益。

國(guó)際上對(duì)內(nèi)部控制也有大量的研究，美國(guó)有個(gè)權(quán)威機(jī)構(gòu)叫COSO，提出了一個(gè)比較完整的內(nèi)控理論和操作方法，后來(lái)又提出完整的風(fēng)險(xiǎn)管理的理論。實(shí)際上各國(guó)都在探索，英國(guó)也有一個(gè)CADBURY模式，后來(lái)它發(fā)展或TURBULL。加拿大叫COCO理論。一些發(fā)展中國(guó)家，例如南非也有一套理論，叫KING，都在研究?jī)?nèi)控。為什么這樣重視內(nèi)控？就是前面講的偉大公司的背后的管理法則。1998年9月份巴塞爾委員會(huì)又提出了一個(gè)關(guān)于銀行體系內(nèi)部控制框架，這個(gè)在網(wǎng)上能夠搜索出來(lái)。2003年美國(guó)COSO又進(jìn)一步提出更加完整的理論，不完全是內(nèi)控，把內(nèi)控放在風(fēng)險(xiǎn)管理的框架里。所以?xún)?nèi)部控制的發(fā)展一步一步最后形成了巴塞爾委員會(huì)內(nèi)控的指導(dǎo)原則，一共有13項(xiàng)原則。而且內(nèi)部控制在概念上也從部分控制論發(fā)展到全控制論。部分控制論講的控制是會(huì)計(jì)控制、財(cái)物管理控制，后來(lái)又發(fā)展到稽核，各個(gè)銀行都有稽核隊(duì)伍，然后又超越財(cái)務(wù)范疇，把內(nèi)控滲透到經(jīng)營(yíng)和管理各個(gè)方面?？刂茲B透在各個(gè)微觀(guān)經(jīng)營(yíng)管理活動(dòng)的毛孔里。而且內(nèi)部控制也由過(guò)去只強(qiáng)調(diào)財(cái)務(wù)會(huì)計(jì)和財(cái)務(wù)信息的管理到更加強(qiáng)調(diào)提高經(jīng)營(yíng)管理的效果和效率，更加強(qiáng)調(diào)管理政策。這是一個(gè)發(fā)展。

我們研究一下到底什么叫內(nèi)控？現(xiàn)在的內(nèi)控理論已經(jīng)把內(nèi)控設(shè)定為比較科學(xué)的定義：“內(nèi)控是一種為合理保證實(shí)現(xiàn)下述四大目標(biāo)的動(dòng)態(tài)過(guò)程，動(dòng)態(tài)的程序?！彼拿恳粋€(gè)詞都是有道理的，是合理保證實(shí)現(xiàn)四大目標(biāo)的動(dòng)態(tài)過(guò)程，原來(lái)提的是三大目標(biāo)，現(xiàn)在有所發(fā)展，又提出第四大目標(biāo)。它補(bǔ)充的那個(gè)目標(biāo)就是戰(zhàn)略性的目標(biāo)。

什么叫戰(zhàn)略性的目標(biāo)？就是內(nèi)部控制要符合和支持銀行機(jī)構(gòu)的總?cè)蝿?wù)的完成，要有相當(dāng)高度的視野，這是一種高層次的目標(biāo)。上面提到的資本充足，這就是戰(zhàn)略性目標(biāo)，中央確定我們要實(shí)現(xiàn)國(guó)有商業(yè)銀行資本充足，這是戰(zhàn)略決策，不是具體到結(jié)算業(yè)務(wù)，還是零售業(yè)務(wù)，還是公司業(yè)務(wù)這種微觀(guān)層面的目標(biāo)。過(guò)去的國(guó)有商業(yè)銀行不講究要資本充足，國(guó)家不給我們補(bǔ)助資本金，中國(guó)銀行一開(kāi)始是財(cái)政部劃撥的那點(diǎn)錢(qián)，后來(lái)核銷(xiāo)呆賬沒(méi)有撥過(guò)資本，有利潤(rùn)全部上交國(guó)家、上交財(cái)政，現(xiàn)在提出來(lái)要滿(mǎn)足8％資本金充足率，要實(shí)現(xiàn)這個(gè)，國(guó)家給我們中國(guó)銀行225億美元讓我們來(lái)充實(shí)銀行的資本，另一個(gè)也允許我們?cè)谟虚g拿出一塊，使我們的資產(chǎn)達(dá)到充足的標(biāo)準(zhǔn)，今后就要靠自己的努力了。這就是戰(zhàn)略。

第二種目標(biāo)叫操作性目標(biāo)。銀行不能不講效果，不能不講效率，在我們貸款的時(shí)候，在我們?nèi)谫Y的時(shí)候，在我們做業(yè)務(wù)的時(shí)候，要保證銀行避免損失。執(zhí)行各種內(nèi)控操作的程序，確保組織當(dāng)中所有人都來(lái)有效率的工作，甚至還要注意道德的完整性，而不發(fā)生不應(yīng)有的過(guò)高成本。特別要強(qiáng)調(diào)，不能把任何其他的利益置于銀行的利益之上，比如為自己雇員的利益發(fā)獎(jiǎng)金，為了讓大家得到獎(jiǎng)金，寧肯使銀行冒操作性的風(fēng)險(xiǎn)?；蛘呓o關(guān)系人貸款，為了某些客戶(hù)的利益，而不顧銀行的利益?；蛘邽榱藗€(gè)人的權(quán)利，拉拉打打、玩權(quán)術(shù)、市宗派。

還有第三個(gè)目標(biāo)，叫做信息性目標(biāo)。這里包括財(cái)務(wù)和管理的信息，過(guò)去只是強(qiáng)調(diào)財(cái)務(wù)的信息，現(xiàn)在巴塞爾委員會(huì)強(qiáng)調(diào)還有管理的信息，都要可靠、完整，并且能及時(shí)地提供。我們?cè)趯?xiě)各種報(bào)告的時(shí)候，都要做到這點(diǎn)，而且要定期發(fā)布可靠的財(cái)務(wù)報(bào)告，披露真實(shí)的信息。將來(lái)我們上市了，也要給股東寫(xiě)報(bào)告，給銀監(jiān)會(huì)、人民銀行寫(xiě)報(bào)告，對(duì)外公布的財(cái)務(wù)報(bào)告要經(jīng)過(guò)監(jiān)管當(dāng)局認(rèn)可的會(huì)計(jì)師事務(wù)所審定。而且董事會(huì)、管理者在做決策的時(shí)候，要有信息基礎(chǔ)，這個(gè)信息必須充分、有質(zhì)量和完整。我們的財(cái)務(wù)報(bào)表要有明確定義的會(huì)計(jì)原則。這次中國(guó)銀行上市，其中一個(gè)內(nèi)容就是要搞盡職調(diào)查，我們要聘請(qǐng)外部律師事務(wù)所給我們幫忙，我們要向他們?nèi)鐚?shí)地報(bào)一系列的材料，最后這個(gè)材料要交到律師事務(wù)所審查。中國(guó)銀行干了這么多年，出了多少年報(bào)，年報(bào)后面的會(huì)計(jì)報(bào)表不僅前沒(méi)有會(huì)計(jì)師事務(wù)所簽字。國(guó)外的會(huì)計(jì)報(bào)表和年報(bào)最后除了銀行行長(zhǎng)簽字、銀行總會(huì)計(jì)師或者財(cái)務(wù)總監(jiān)簽字以外，還有中央銀行認(rèn)可的外部審計(jì)師要簽字，而我們過(guò)去沒(méi)有。要真實(shí)披露，我們的工農(nóng)中建可能存在倒閉的問(wèn)題，如果嚴(yán)格按照巴塞爾委員會(huì)的要求有可能會(huì)摘牌了。所以我們上市以后，壓力很大。但我們需要披露，我們有責(zé)任向股民說(shuō)清。

還有第四大目標(biāo)叫遵從性目標(biāo)。符合法律和規(guī)章制度。巴塞爾委員會(huì)特別強(qiáng)調(diào)，要確保銀行所有的經(jīng)營(yíng)都遵從適當(dāng)?shù)姆珊鸵?guī)章，遵從監(jiān)管的要求，遵從本組織——銀行的政策和程序，其中一個(gè)特別重要的就是業(yè)務(wù)流程。如果業(yè)務(wù)流程不熟悉、不遵從，違規(guī)經(jīng)營(yíng)的話(huà)，就沒(méi)有實(shí)現(xiàn)這個(gè)目標(biāo)。為什么要這么做？要保護(hù)銀行的“特權(quán)”。實(shí)際上銀行是有特權(quán)的，不是所有的企業(yè)都能干銀行，也不是所有的金融機(jī)構(gòu)都能干銀行的事，銀行是被經(jīng)濟(jì)社會(huì)選拔出來(lái)的能夠勝任這項(xiàng)工作的金融機(jī)構(gòu)。為什么銀行要有聲譽(yù)？別的公司也強(qiáng)調(diào)信譽(yù)，但都沒(méi)有銀行的信譽(yù)強(qiáng)調(diào)得更高。有不少人也抱怨，別的國(guó)營(yíng)單位蓋大樓，中央要批評(píng)，但是銀行為什么可以?我們中國(guó)銀行的樓，我走過(guò)了幾十個(gè)國(guó)家，我還真沒(méi)見(jiàn)過(guò)這么好的銀行大廈，法蘭克福的金融中心建設(shè)得夠高級(jí)了，英國(guó)的City夠氣派了，你到那里看看，有沒(méi)有比中國(guó)銀行的樓更高級(jí)的，我覺(jué)得還沒(méi)有。這里也確有太奢華的問(wèn)題，但為什么中行這么蓋大樓，建行、工行都蓋了不小的大樓，中央沒(méi)批評(píng)，因?yàn)樗袀€(gè)形象和聲譽(yù)問(wèn)題。因?yàn)殂y行很需要體現(xiàn)它的權(quán)威和不可動(dòng)搖性。我在河北掛職的時(shí)候，河北中央銀行門(mén)前的獅子是銅做的，斜對(duì)面有一個(gè)紡織品進(jìn)出口公司，獅子也不小，但央行的比公司的還大一倍。銀行的職業(yè)特征決定了它需要一定的聲譽(yù)和權(quán)威。當(dāng)然，這種聲望和權(quán)威應(yīng)該是內(nèi)在的，不能只靠表面的豪華去裝飾。

工農(nóng)建都設(shè)有法律部門(mén)，都起名叫法律部，我們中國(guó)銀行為什么出了一個(gè)法律與合規(guī)部？直接的原因是紐約分行的事件，給我們很大的教訓(xùn)。有人說(shuō)你把你們的行長(zhǎng)都賠進(jìn)去了，那都不是最重要的教訓(xùn)，最重要的教訓(xùn)是紐約分行使我們認(rèn)識(shí)到過(guò)去我們搞銀行的時(shí)候，對(duì)合規(guī)重視得很不夠，而一些大型的國(guó)際化的銀行在行內(nèi)設(shè)有很大的部叫合規(guī)部，來(lái)抓合規(guī)工作。我們總結(jié)了在紐約的沉痛教訓(xùn)，感到有必要把合規(guī)工作提上日程。銀行一定要依法合規(guī)經(jīng)營(yíng)。而內(nèi)部控制的理論實(shí)際上把“合規(guī)”作為一個(gè)目標(biāo)。中國(guó)的銀行考核底下的員工都把效益作為考核的重點(diǎn)，利潤(rùn)是考核的重點(diǎn)，但是內(nèi)控理論中明確指出要把依法合規(guī)作為考核的四大目標(biāo)之一，如果不考核當(dāng)然各級(jí)單位就不朝這個(gè)方面努力，不在這個(gè)地方扣分，憑什么在這個(gè)地方花費(fèi)資源？

內(nèi)部控制的定義說(shuō)明了幾個(gè)問(wèn)題：

第一，內(nèi)部控制是一種程序，這個(gè)程序意味著它朝著某個(gè)方向去努力，但是它永遠(yuǎn)達(dá)不到那個(gè)終點(diǎn)，因?yàn)檫@個(gè)終點(diǎn)是它不斷要達(dá)到的目標(biāo)。

第二，銀行要搞內(nèi)部控制，離不開(kāi)人的影響，不是說(shuō)搞內(nèi)部控制就是去念幾條規(guī)章制度，而要有人在這里起作用。

第三，內(nèi)部控制是為公司管理層提供合理的保障，但不是絕對(duì)的。萬(wàn)事都不能絕對(duì)化，絕對(duì)化就是形而上學(xué)。內(nèi)控是提供合理的保障，是對(duì)解決銀行問(wèn)題有利。不是說(shuō)一抓內(nèi)控就什么問(wèn)題都不會(huì)出來(lái)。

第四，內(nèi)控是有多重目標(biāo)的，內(nèi)控有四個(gè)目標(biāo)，第一個(gè)目標(biāo)是戰(zhàn)略設(shè)定，第二個(gè)目標(biāo)是經(jīng)營(yíng)的效果和效益，第三個(gè)目標(biāo)是信息性目標(biāo)，第四個(gè)目標(biāo)是遵從性目標(biāo)。內(nèi)部控制為的是目標(biāo)的實(shí)現(xiàn)，通過(guò)一些活動(dòng)，一個(gè)有機(jī)結(jié)合的整體，去實(shí)現(xiàn)公司的目標(biāo)。這是很值得我們學(xué)習(xí)內(nèi)部控制的方面。

內(nèi)部控制可分解為五大組成部分的內(nèi)容：第一個(gè)強(qiáng)調(diào)控制環(huán)境，第二個(gè)強(qiáng)調(diào)風(fēng)險(xiǎn)評(píng)估，第三個(gè)要開(kāi)展控制活動(dòng)，第四個(gè)要進(jìn)行信息的交流，第五個(gè)要進(jìn)行監(jiān)督評(píng)審。這是內(nèi)部控制的五大組成部分。為什么從理論上強(qiáng)調(diào)這些內(nèi)容，不是我們要講一些花哨的名詞，而是這五大組成部分比較充分和完整地說(shuō)明了內(nèi)控的主要內(nèi)容，使我們明白了應(yīng)該怎么執(zhí)行內(nèi)控，又怎么進(jìn)行評(píng)價(jià)。怎么評(píng)價(jià)內(nèi)控？我建議就從這五個(gè)方面。

另外COSO又提出八大組成部分，這是從風(fēng)險(xiǎn)管理角度講的。下面是風(fēng)險(xiǎn)管理的八大內(nèi)容：內(nèi)控環(huán)境、戰(zhàn)略目標(biāo)設(shè)定，事件的認(rèn)識(shí)或者是了解，另外風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)對(duì)策、控制活動(dòng)、信息與交流、監(jiān)督評(píng)審。這是八個(gè)組成部分的內(nèi)容。首先要確定目標(biāo)，開(kāi)展經(jīng)營(yíng)活動(dòng)必須有目標(biāo)，我銀行要搞好，我的目標(biāo)是什么？支行有支行的目標(biāo)，二級(jí)分行有二級(jí)分行的目標(biāo)，一級(jí)分行和總行都有目標(biāo)。風(fēng)險(xiǎn)管理也是一個(gè)有機(jī)結(jié)合的整體，也要強(qiáng)調(diào)內(nèi)部的環(huán)境，就是前面說(shuō)的控制環(huán)境。目標(biāo)設(shè)定以后，要有些事要做，一件事叫“事件識(shí)別”，就是要看這些事有什么風(fēng)險(xiǎn)，要開(kāi)展公司業(yè)務(wù)、零售業(yè)務(wù)、結(jié)算業(yè)務(wù)、信用卡業(yè)務(wù)，銀行所有的業(yè)務(wù)，這些業(yè)務(wù)有什么風(fēng)險(xiǎn)要評(píng)估，評(píng)估完了以后要有風(fēng)險(xiǎn)對(duì)策。既然你都評(píng)估了，怎么處理這些風(fēng)險(xiǎn)，要有政策、有策略。然后，就進(jìn)入了內(nèi)部控制。這里我解釋風(fēng)險(xiǎn)管理是希望說(shuō)明它與內(nèi)控的關(guān)系。

概括起來(lái)，內(nèi)控分為五大組成部分的內(nèi)容。內(nèi)控五大組成部分最基礎(chǔ)的地方是在控制環(huán)境上，然后進(jìn)行風(fēng)險(xiǎn)評(píng)估，還要開(kāi)展控制活動(dòng)，在控制活動(dòng)開(kāi)展的過(guò)程中間，又要不斷交流信息，寶塔尖上強(qiáng)調(diào)監(jiān)督、評(píng)審。從風(fēng)險(xiǎn)管理的角度來(lái)分析，這個(gè)模式或框架還包含四大目標(biāo)。戰(zhàn)略性、操作性、信息性、遵從性、合規(guī)性，這是五個(gè)目標(biāo)，這是一個(gè)層面的東西。從內(nèi)控的角度來(lái)分，目標(biāo)是四個(gè)，但內(nèi)容可以比風(fēng)險(xiǎn)管理少三大內(nèi)容。就是以上概括的五大組成部分的內(nèi)容。這還僅僅是兩維的空間，第三維空間就是不同的部門(mén)，各個(gè)級(jí)別的部門(mén)。第三維空間，比如法律事務(wù)部或者是公司業(yè)務(wù)部、零售業(yè)務(wù)部，這些部門(mén)組成第三維空間，這三維空間組成立體的模型。實(shí)際上我們?cè)谥v一種思維方式，我們是在這樣一個(gè)立體空間里搞銀行。把任何一個(gè)部門(mén)抽出來(lái)，比如把公司業(yè)務(wù)部抽出來(lái)，都有四大目標(biāo)，都有五大組成部分的內(nèi)容在里面。這說(shuō)明一個(gè)什么問(wèn)題？說(shuō)明我們可能利用思維方式，利用模型，利用這個(gè)理論，探討出管理銀行，評(píng)價(jià)銀行的方式。為什么巴塞爾委員會(huì)這個(gè)國(guó)際銀行監(jiān)管的機(jī)構(gòu)，要支持這么一種理論?是因?yàn)檫@個(gè)理論有用，是因?yàn)檫@個(gè)理論發(fā)展到今天，能涵蓋我們銀行的主要業(yè)務(wù)、主要工作。

從“控制環(huán)境”的角度怎么理解呢？實(shí)際上控制環(huán)境是所有各個(gè)方面的基礎(chǔ)，是一個(gè)帶動(dòng)銀行開(kāi)展工作的“發(fā)動(dòng)機(jī)”。這里包括銀行的行風(fēng)、組織風(fēng)紀(jì)，它還涉及銀行活動(dòng)的核心——人（員工），而且要通過(guò)影響人們的控制覺(jué)悟來(lái)形成銀行的“文化”，就是銀行究竟提倡什么，特別是注意人們對(duì)內(nèi)控的認(rèn)識(shí)和態(tài)度，你有沒(méi)有控制理論，有沒(méi)有高度的內(nèi)部控制覺(jué)悟，也就是重視內(nèi)部控制，特別是由于這個(gè)環(huán)境不同，你的戰(zhàn)略目標(biāo)的實(shí)現(xiàn)就受到影響。我們國(guó)家如果沒(méi)有長(zhǎng)期穩(wěn)定搞建設(shè)的環(huán)境，中央不會(huì)提出國(guó)民經(jīng)濟(jì)翻翻這樣的戰(zhàn)略。這里還涉及風(fēng)險(xiǎn)管理的一些哲學(xué)，開(kāi)展風(fēng)險(xiǎn)管理是避險(xiǎn)為主還是冒險(xiǎn)為主呢？風(fēng)險(xiǎn)管理是什么文化？這些東西都是控制環(huán)境里的。我們理解控制環(huán)境也是希望大家在評(píng)價(jià)某個(gè)部門(mén)的時(shí)候，比如上級(jí)讓你去公司業(yè)務(wù)部檢查一下他們的內(nèi)部控制怎么樣，首先建議你評(píng)價(jià)控制管理的環(huán)境如何。我后面還會(huì)強(qiáng)調(diào)環(huán)境方面的建設(shè)。

第二大組成部分是“風(fēng)險(xiǎn)評(píng)估”。風(fēng)險(xiǎn)評(píng)估是什么？就是你要去識(shí)別和分析那些妨礙實(shí)現(xiàn)經(jīng)營(yíng)管理目標(biāo)的風(fēng)險(xiǎn)，這是風(fēng)險(xiǎn)管理決策的基礎(chǔ)。我們搞內(nèi)部控制，必須要認(rèn)識(shí)風(fēng)險(xiǎn)，這和風(fēng)險(xiǎn)的定義有關(guān)系。什么叫作風(fēng)險(xiǎn)？有人說(shuō)就是損失，或者有人從概念角度說(shuō)是造成損失的可能性，這些都對(duì)，但是更精確、更科學(xué)、更接近本質(zhì)的風(fēng)險(xiǎn)定義是什么？就是妨礙實(shí)現(xiàn)目標(biāo)的所有因素。為什么這么說(shuō)？就是我們干什么事都是要有目標(biāo)，什么叫我干這件事的風(fēng)險(xiǎn)呢？就是我有哪些東西干擾我實(shí)現(xiàn)這個(gè)目標(biāo)。我曾經(jīng)舉了一個(gè)很生動(dòng)的例子，比如說(shuō)有一個(gè)武士，他在射箭，要打中一只鳥(niǎo)，什么是他的風(fēng)險(xiǎn)呢？打不中是他可能的結(jié)果，怎么會(huì)影響他打不中呢？一個(gè)顯然是他自己的本事，他有沒(méi)有力氣拉開(kāi)這個(gè)弓，拉到足夠滿(mǎn)的程度。他的視力是不是好？他是不是能夠正確地判別目標(biāo)所存在的位置以及他自己的經(jīng)驗(yàn)？說(shuō)到這兒，是不是風(fēng)險(xiǎn)就沒(méi)了，不對(duì)。當(dāng)他拉弓的時(shí)候，雖然拉的很滿(mǎn)，但是他是頂風(fēng)拉的，風(fēng)力很大，影響他。天要是突然刮起了大風(fēng)，烏云遮蓋了整個(gè)天空，太陽(yáng)沒(méi)有了，看不見(jiàn)了，這也是風(fēng)險(xiǎn)。如果一切都非常好，但是拉弓的英雄喜愛(ài)美人，旁邊過(guò)來(lái)一個(gè)美女，他分心了，也射不中。要想實(shí)現(xiàn)目標(biāo)，各種因素都可能是風(fēng)險(xiǎn)，只要它們妨礙你達(dá)到你的目標(biāo)。所以我們?cè)谥v銀行風(fēng)險(xiǎn)的時(shí)候，有人總是想設(shè)定一下是信貸風(fēng)險(xiǎn)、利率風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)，其實(shí)這都是一些業(yè)務(wù)上的風(fēng)險(xiǎn)，很少有人提到人的風(fēng)險(xiǎn)，而且很少有人涉及更廣泛的，凡是能夠形成對(duì)銀行目標(biāo)實(shí)現(xiàn)造成影響的其他一些風(fēng)險(xiǎn)，例如員工有沒(méi)有參與賭博、炒股，甚至包“二奶”等，很少有人更廣泛去考慮，就是因?yàn)樵陲L(fēng)險(xiǎn)的定義上不夠準(zhǔn)確，沒(méi)有明確風(fēng)險(xiǎn)更本質(zhì)的定義。在風(fēng)險(xiǎn)管理的體系框架中，COSO把目標(biāo)的設(shè)定加進(jìn)來(lái)，然后有一個(gè)事件的識(shí)別，有風(fēng)險(xiǎn)的評(píng)估，然后要制定風(fēng)險(xiǎn)對(duì)策。這四個(gè)方面恰恰是風(fēng)險(xiǎn)管理的主要內(nèi)容，也是搞銀行風(fēng)險(xiǎn)管理四個(gè)最本質(zhì)的工作。

第三大組成部分是“控制活動(dòng)”。你既然是搞內(nèi)控，不可能不參加控制活動(dòng)，使目標(biāo)的實(shí)現(xiàn)有合理的保證。經(jīng)營(yíng)目標(biāo)的實(shí)現(xiàn)需要發(fā)布一些管理指令，要采取一些防范化解風(fēng)險(xiǎn)的措施、政策、程序，像高層的檢查，直接地參與管理，對(duì)信息進(jìn)行加工、對(duì)實(shí)物進(jìn)行控制，比如確定指標(biāo)、究竟今年要完成多少利潤(rùn)等。特別是職責(zé)的分離，職責(zé)不分是現(xiàn)在銀行發(fā)生重大案件的一個(gè)很普遍的原因。如果交易、記賬和尾箱管理都由“一手清”，就難保不出事。內(nèi)控還要針對(duì)目標(biāo)相關(guān)的風(fēng)險(xiǎn)發(fā)布控制指令，各種各樣的指令。

第四大組成部分存在于所有的經(jīng)營(yíng)管理活動(dòng)中，“信息與交流”應(yīng)使員工能夠搜集和交換為開(kāi)展經(jīng)營(yíng)從事管理和進(jìn)行控制等活動(dòng)所需要的信息。管理者應(yīng)該經(jīng)常評(píng)價(jià)員工的工作業(yè)績(jī)，注意以評(píng)價(jià)監(jiān)督的方式來(lái)開(kāi)展工作，根據(jù)一些會(huì)計(jì)數(shù)據(jù)分析并發(fā)出一些預(yù)警信號(hào)，確保有關(guān)經(jīng)營(yíng)目標(biāo)的實(shí)現(xiàn)。這個(gè)信息與交流在總行層面是最大的問(wèn)題，我們各個(gè)部門(mén)分管很細(xì)，都有各自的職責(zé)，一件事現(xiàn)在離開(kāi)哪個(gè)部門(mén)干都不行，需要協(xié)調(diào)配合?？墒窃谠蹅円恍┿y行體系當(dāng)中，協(xié)調(diào)配合能力特別差，其中的一個(gè)癥結(jié)就在信息與交流上。我想法律部的人員也會(huì)有同感，說(shuō)叫你去審查一個(gè)合同，把合同拿來(lái)了，以為很容易發(fā)現(xiàn)合同中存在的問(wèn)題。有的時(shí)候送審的人員都不知道給你這個(gè)合同讓你審什么。后來(lái)我們制定了合同審查表，叫“合同審查意見(jiàn)申請(qǐng)表”，這個(gè)表讓你說(shuō)明送審合同的目的，你究竟讓我審什么？這個(gè)合同產(chǎn)生的背景是什么？這里有哪些法律疑難問(wèn)題需要我們法律部審查？過(guò)去有沒(méi)有審過(guò)？有的人拿過(guò)來(lái)第二次審了，但沒(méi)有告訴，我重審一遍。說(shuō)我們法律部門(mén)解決的問(wèn)題，合規(guī)方面要不要解決，是不是合規(guī)？我覺(jué)得一項(xiàng)法律合同首先要合規(guī)，業(yè)務(wù)不合規(guī)，談不上跟人家簽合同。這些問(wèn)題都是一個(gè)配合的問(wèn)題，都是一個(gè)信息交流的問(wèn)題。

還有一個(gè)內(nèi)容是“監(jiān)督評(píng)審”，現(xiàn)在咱們國(guó)家已經(jīng)開(kāi)始重視這個(gè)問(wèn)題，就是干什么事都注意監(jiān)督，但是這里我所說(shuō)的監(jiān)督評(píng)審是評(píng)價(jià)內(nèi)部控制持續(xù)操作質(zhì)量的一個(gè)過(guò)程。要評(píng)價(jià)內(nèi)部控制到底在你們這個(gè)部門(mén)是有效的，還是無(wú)效的？這個(gè)監(jiān)督評(píng)審是經(jīng)營(yíng)管理部門(mén)對(duì)內(nèi)部控制的管理監(jiān)督和稽核監(jiān)察部門(mén)對(duì)內(nèi)部控制再監(jiān)督、再評(píng)價(jià)的總稱(chēng)。也就是說(shuō)監(jiān)督不僅僅是稽核、監(jiān)察部門(mén)的職責(zé)，更重要的是經(jīng)營(yíng)管理部門(mén)自身的職責(zé)。這個(gè)概念不是一下子能認(rèn)識(shí)到。過(guò)去一提到監(jiān)督，肯定是監(jiān)察部、稽核部它們的事，為什么我們法律與合規(guī)部要成立一個(gè)合規(guī)處？從管理的角度制定了許許多多的制度和規(guī)定執(zhí)行了沒(méi)有？執(zhí)行的情況怎么樣？我們不能不管。我相信工、農(nóng)、中、建都有法律部，都有這個(gè)職責(zé)，就是管規(guī)章制度的制定和監(jiān)督。我們管到這個(gè)層面是不是就夠了？實(shí)踐證明不夠，咱們銀行為什么出一大堆問(wèn)題？為什么出那么多案子？哪一個(gè)流程沒(méi)有規(guī)章制度?我們現(xiàn)在凡是發(fā)行一個(gè)新的業(yè)務(wù)，新的產(chǎn)品，首先是規(guī)章制度，規(guī)章制度不出臺(tái)，流程不出臺(tái)，不明確，這項(xiàng)業(yè)務(wù)就不能開(kāi)展。問(wèn)題就出在新的業(yè)務(wù)上。一方面規(guī)章制度跟不上需要，一方面有章不循，不執(zhí)行規(guī)章制度，讓稽核監(jiān)察去查查，必須有人時(shí)常監(jiān)督規(guī)章制度是否執(zhí)行，執(zhí)行有力還是不力，全面不全面，不執(zhí)行、違規(guī)經(jīng)營(yíng)，造成的損失和問(wèn)題誰(shuí)來(lái)負(fù)責(zé)，如何追究責(zé)任，如何進(jìn)行處罰，這一點(diǎn)非常重要，沒(méi)有這項(xiàng)工作，規(guī)章制度就是形同虛設(shè)。為什么現(xiàn)在出現(xiàn)大量問(wèn)題？因?yàn)槟悴蝗ケO(jiān)督管理它，總是想著要實(shí)現(xiàn)利潤(rùn)目標(biāo)，為了“短、平、快”，經(jīng)常把一些規(guī)矩打破，打破這些規(guī)矩的結(jié)果產(chǎn)生風(fēng)險(xiǎn)?？墒遣蛔⒁膺@些風(fēng)險(xiǎn)的管理，出了問(wèn)題以后，就讓整個(gè)銀行蒙受巨大的損失。

所以，四大目標(biāo)是縱向的列，五組成部分是橫向的排，和內(nèi)部控制相關(guān)的工作單元或活動(dòng)是第三維空間。我們隨意抽出任何一個(gè)單位，我把某一列抽出來(lái)都有五大組成部分，我把橫排抽出來(lái)，都和四大目標(biāo)密切聯(lián)系。這是一種思維方式，是我們抓內(nèi)控的一種原理性的認(rèn)識(shí)。

當(dāng)然，巴塞爾委員會(huì)還講要監(jiān)管當(dāng)局對(duì)內(nèi)部控制系統(tǒng)進(jìn)行評(píng)價(jià)。2002年央行到我們行全面檢查內(nèi)部控制，我們的被查部門(mén)手忙腳亂，要報(bào)這么多材料，好多東西不知道，內(nèi)部控制搞什么，怎么報(bào)告，做了各種準(zhǔn)備，迎接人民銀行來(lái)檢查內(nèi)控。過(guò)去不夠重視內(nèi)部控制，非要人民銀行來(lái)查才進(jìn)一步重視。為什么監(jiān)管當(dāng)局要著重對(duì)內(nèi)控進(jìn)行檢查和評(píng)價(jià)？不要以為商業(yè)銀行都有內(nèi)控的自覺(jué)性，它再有自覺(jué)性，也沒(méi)有高到足夠的程度。人民銀行要定期不定期地查。我說(shuō)的是一個(gè)挺重要的理論問(wèn)題。我有一個(gè)導(dǎo)師是倫敦經(jīng)濟(jì)學(xué)院經(jīng)濟(jì)系的主任，他寫(xiě)過(guò)一篇文章叫《為什么銀行需要一個(gè)中央銀行》，他從信息論的角度提出商業(yè)銀行有必要接受監(jiān)督這個(gè)問(wèn)題。巴塞爾委員會(huì)關(guān)于內(nèi)部控制的第13條原則就是講商業(yè)銀行需要中央銀行監(jiān)督，不僅監(jiān)督表內(nèi)業(yè)務(wù)，甚至監(jiān)督表外業(yè)務(wù)，還有新業(yè)務(wù)。凡是監(jiān)管者確定某銀行的內(nèi)部控制系統(tǒng)不能充分或有效地針對(duì)銀行的具體風(fēng)險(xiǎn)，監(jiān)管者應(yīng)當(dāng)采取適當(dāng)?shù)男袆?dòng)。巴塞爾委員會(huì)說(shuō)話(huà)是有分量的，“適當(dāng)?shù)男袆?dòng)”，什么行動(dòng)？我們紐約分行曾經(jīng)險(xiǎn)些被停牌，讓你注意你已經(jīng)降到多少級(jí)，使你提高交融資成本。再不小心，我停止你經(jīng)營(yíng)?，F(xiàn)在外國(guó)銀行到中國(guó)來(lái)，最怕的就是中央銀行，銀監(jiān)會(huì)也好，中央銀行也好，國(guó)外有深刻體會(huì)，匯豐銀行這些大銀行對(duì)當(dāng)?shù)刂醒脬y行非常畏懼，中國(guó)的商業(yè)銀行對(duì)人民銀行的畏懼程度遠(yuǎn)遠(yuǎn)不如外國(guó)銀行對(duì)人家的中央銀行的畏懼性，為什么？這里反映了雙方的問(wèn)題，一方面商業(yè)銀行自律性不強(qiáng)，另一方面銀監(jiān)會(huì)和人民銀行對(duì)商業(yè)銀行的監(jiān)督不夠得力，商業(yè)銀行被罰款不夠多。我們?cè)诿绹?guó)一項(xiàng)罰數(shù)達(dá)二千萬(wàn)美元，這算少的?？纯窗踩还镜归]了以后，一些大審計(jì)公司被罰到最后倒閉。安德信是國(guó)際上最大的審計(jì)公司，就為安然事件倒閉了。人民銀行實(shí)際上也對(duì)內(nèi)部控制提出很多要求。我記得當(dāng)時(shí)人民銀行對(duì)每項(xiàng)業(yè)務(wù)都提出了要求，我看了看銀監(jiān)會(huì)對(duì)商業(yè)銀行內(nèi)部控制的檢查評(píng)價(jià)體系基本上采納了COSO和巴塞爾委員會(huì)提出的要求，特別強(qiáng)調(diào)一種內(nèi)部控制的文化，這是巴塞爾委員會(huì)和COSO提出來(lái)的，這種文化體現(xiàn)在銀行的評(píng)價(jià)制度、職責(zé)分離的要求、橫向與縱向相互監(jiān)督制約的機(jī)制、報(bào)告關(guān)系、輪換制和強(qiáng)制休假制度、授權(quán)體系，還有對(duì)分支機(jī)構(gòu)的管理和控制、賬目核對(duì)、監(jiān)控制度、會(huì)計(jì)制度、應(yīng)急制度、獨(dú)立的法律合規(guī)的要求，等等。

有個(gè)問(wèn)題值得探討：合規(guī)部門(mén)如何要具備它的獨(dú)立性？我在稽核部門(mén)也干過(guò)，稽核部門(mén)也存在獨(dú)立性和垂直性，稽核部門(mén)比較難做，我不知道其他銀行是不是這樣，我在稽核部門(mén)深有體會(huì)。銀行系統(tǒng)那些一線(xiàn)部門(mén)的同事總認(rèn)為自己是創(chuàng)造利潤(rùn)的主要部門(mén)，在行長(zhǎng)面前匯報(bào)工作的時(shí)候都是一派理直氣壯的樣子，要是輪到監(jiān)督部門(mén)和管理部門(mén)說(shuō)話(huà)的時(shí)候，似乎底氣不那么足。外國(guó)大銀行稽核部門(mén)說(shuō)到哪個(gè)部門(mén)去查你就去查。而我們還要發(fā)個(gè)通知，告訴你我兩個(gè)星期或者一個(gè)月之后，要到你那里去檢查什么。人家那兒有時(shí)根本不告訴你，來(lái)了把你抽屜打開(kāi)，你乖乖地站在那兒看著在那兒查。我在中國(guó)銀行法規(guī)部管合規(guī)，我問(wèn)過(guò)人家匯豐銀行、渣打銀行的同行，我問(wèn)他們合規(guī)權(quán)威如何，他們說(shuō)都很怕合規(guī)官。因?yàn)楹芏嘀卮蟮膯?wèn)題要合規(guī)官審批，批不批就在他一個(gè)簽字而這些審批都是獨(dú)立進(jìn)行的。我經(jīng)常遇到這種情況，現(xiàn)在強(qiáng)調(diào)法律與合規(guī)的重要性，動(dòng)不動(dòng)把你叫去開(kāi)會(huì)，什么文來(lái)了讓你簽字。他找你簽，像是尊重你又像不是尊重你，有的時(shí)候?qū)嶋H上想讓你認(rèn)可，說(shuō)是還是不是，你要說(shuō)是，我做了以后別找我碴兒。在我們部門(mén)工作的同志大都年輕，工作忙了，哪審得了這么多，一看既然他們都定了，我無(wú)異議，回復(fù)給人家。我心里打鼓，我最怕看到哪個(gè)經(jīng)辦或處長(zhǎng)拿給我看三個(gè)字“無(wú)異議”，現(xiàn)在有什么事能讓你一點(diǎn)異議沒(méi)有？現(xiàn)在沒(méi)有那么干凈的事，拿到你這個(gè)法律部門(mén)審查的時(shí)候，可能是想繞一繞、拐一拐，你說(shuō)無(wú)異議，那就干吧，因?yàn)闊o(wú)異議說(shuō)明什么問(wèn)題都不該有。我跟協(xié)議處說(shuō)不要輕言無(wú)異議，一提無(wú)異議，就說(shuō)明我這個(gè)部門(mén)對(duì)這個(gè)問(wèn)題沒(méi)意見(jiàn)，萬(wàn)一出個(gè)問(wèn)題，吃不了兜著走。我感覺(jué)應(yīng)該使銀行的經(jīng)營(yíng)部門(mén)尊重管理部門(mén)，也要讓銀行的經(jīng)營(yíng)管理部門(mén)尊重監(jiān)督人員，這是非常重要的。如果不尊重，說(shuō)明這個(gè)銀行內(nèi)部控制有問(wèn)題，起碼在控制文化上有問(wèn)題，他反感控制，不讓你控制，想讓你變著法不控制，但是他又讓你簽字。銀行今后應(yīng)該采取措施，使這些管理具有權(quán)威性、監(jiān)督有權(quán)威性、稽核有權(quán)威性、法律與合規(guī)部門(mén)有權(quán)威性?，F(xiàn)在不是都講錢(qián)嗎?考核要有正確的考核體系。

強(qiáng)調(diào)內(nèi)控的時(shí)候也應(yīng)該注意：內(nèi)部控制不是萬(wàn)能的，內(nèi)控不可能把一個(gè)本質(zhì)上很壞的經(jīng)營(yíng)管理者變好，不可能左右政府的一些政策和計(jì)劃的改變，不可能對(duì)外部競(jìng)爭(zhēng)對(duì)手的行為和客觀(guān)經(jīng)濟(jì)條件的變化都把握好，它有局限性。再有財(cái)務(wù)報(bào)表可靠不可靠，不是說(shuō)你內(nèi)控絕對(duì)能夠保證的，假如支行的行長(zhǎng)指揮著支行的會(huì)計(jì)去假造財(cái)務(wù)報(bào)表，會(huì)是什么問(wèn)題？新會(huì)計(jì)法有一大修改，就是會(huì)計(jì)報(bào)表第一責(zé)任人是企業(yè)負(fù)責(zé)人，我覺(jué)得這條非常好，過(guò)去一說(shuō)某個(gè)企業(yè)造了假賬是會(huì)計(jì)造的，其實(shí)回過(guò)頭來(lái)一檢查，能有幾個(gè)會(huì)計(jì)自己造假，是他的領(lǐng)導(dǎo)，他們那些廠(chǎng)長(zhǎng)、黨委書(shū)記讓他造假，他是被迫的。

我們應(yīng)該提倡依法合規(guī)經(jīng)營(yíng)，千萬(wàn)不要違規(guī)，或者明知道這個(gè)不合法，也不向法律部門(mén)說(shuō)明需要針對(duì)它進(jìn)行審查，想蒙混過(guò)關(guān)，想得到法律部門(mén)的認(rèn)可，得到銀行老總的簽字，求得一時(shí)的解脫，這要不得。

國(guó)際上內(nèi)部控制的發(fā)展的趨勢(shì)給了我們一些啟示。

一是強(qiáng)調(diào)高級(jí)管理層的控制責(zé)任。首先董事會(huì)要充分理解銀行的主要風(fēng)險(xiǎn)。黨委，高級(jí)管理層的內(nèi)控基調(diào)是不是對(duì)？看交響樂(lè)團(tuán)，在準(zhǔn)備演出的時(shí)候先請(qǐng)鋼琴師定一下音？這就是讓全團(tuán)有一個(gè)基調(diào)，控制也要有一個(gè)基調(diào)。這個(gè)基調(diào)要由多級(jí)管理層確定。

二是要大力提倡和營(yíng)造一種控制文化。上述的一些現(xiàn)象實(shí)際上就是控制文化上的問(wèn)題。一方面，董事會(huì)和高級(jí)管理層要負(fù)責(zé)明確各級(jí)員工在道德上和完整性方面的高標(biāo)準(zhǔn)，人格要完整，要講職業(yè)道德，并且在機(jī)構(gòu)中要建立一種文化，向各級(jí)的人員強(qiáng)調(diào)和說(shuō)明內(nèi)部控制的重要性、合規(guī)的重要性、法律的重要性。我在工作中深感在國(guó)有商業(yè)銀行的員工中，特別是在高級(jí)管理人員中，很有必要提倡道德修養(yǎng)，加強(qiáng)職業(yè)道德建設(shè)。在國(guó)有銀行商業(yè)化的過(guò)程中，這方面有待改進(jìn)。有的高級(jí)管理者不是把銀行的利益放在第一位，而是帶頭把個(gè)人的權(quán)利和利益放在第一位。而銀行里用人的時(shí)候不夠重視他（她）們這方面的表現(xiàn)，不夠關(guān)注群眾這方面的反映，結(jié)果是在基層，甚至在總行高管人員中，不斷發(fā)生重大案件。另一方面，銀行所有的員工都應(yīng)在內(nèi)控的程序中間發(fā)揮作用，控制不只是高管人員的事，而是人人有份。上至總行，下至分理處、儲(chǔ)蓄所，每個(gè)崗位上的人都承擔(dān)特定的控制責(zé)任。有效的內(nèi)部控制系統(tǒng)的一項(xiàng)實(shí)質(zhì)性?xún)?nèi)容就是建立強(qiáng)有力的控制文化，沒(méi)有這種控制文化，法律工作也不好搞，合規(guī)工作也不好搞，監(jiān)督機(jī)構(gòu)會(huì)形同虛設(shè)。

還有四點(diǎn)我要強(qiáng)調(diào)指出：

第一是正確理解內(nèi)控和管理的關(guān)系，進(jìn)一步認(rèn)識(shí)內(nèi)控在管理活動(dòng)中的重要意義，要盡快地由領(lǐng)導(dǎo)決策層帶動(dòng)，動(dòng)員各級(jí)員工營(yíng)造良好的控制文化，按照內(nèi)控的四大目標(biāo)和五大組成部分，實(shí)行對(duì)經(jīng)營(yíng)管理中間各種風(fēng)險(xiǎn)的逐級(jí)控制，以?xún)?nèi)控為有力武器，提高經(jīng)營(yíng)管理水平。

第二是正確理解內(nèi)控和風(fēng)險(xiǎn)管理的關(guān)系，進(jìn)一步確立內(nèi)控在風(fēng)險(xiǎn)管理體系中的重要地位，防止以風(fēng)險(xiǎn)評(píng)估代替內(nèi)部控制。要按照上面介紹的內(nèi)控原則和系統(tǒng)框架盡快建立起適合中國(guó)國(guó)情的內(nèi)控組織結(jié)構(gòu)，例如建立內(nèi)部控制委員會(huì)和內(nèi)部審計(jì)委員會(huì)，來(lái)加強(qiáng)對(duì)風(fēng)險(xiǎn)的整體研究、評(píng)估和管理控制。

第三是正確理解內(nèi)控和內(nèi)部審計(jì)的關(guān)系，我曾經(jīng)專(zhuān)門(mén)發(fā)表了一篇論文，叫“正確處理內(nèi)控與稽核的關(guān)系”。內(nèi)控首先不是稽核監(jiān)督部門(mén)的責(zé)任，而是業(yè)務(wù)的經(jīng)營(yíng)管理部門(mén)的工作；內(nèi)控主要不是稽核監(jiān)督部門(mén)的工作，而主要是經(jīng)營(yíng)管理部門(mén)的工作；內(nèi)控的檢查評(píng)價(jià)主要不是稽核監(jiān)督部門(mén)的責(zé)任，而主要是經(jīng)營(yíng)管理部門(mén)的責(zé)任；不過(guò)，稽核監(jiān)督部門(mén)對(duì)內(nèi)控負(fù)有再監(jiān)督、再評(píng)價(jià)的重要的職責(zé)。明確上面說(shuō)的四個(gè)要點(diǎn)，并且在監(jiān)督評(píng)審當(dāng)中注意保持稽核與合規(guī)系統(tǒng)的獨(dú)立性，加強(qiáng)對(duì)各種風(fēng)險(xiǎn)的識(shí)別和評(píng)估，建立和督促對(duì)控制缺陷的糾正。不要發(fā)現(xiàn)了一些問(wèn)題，稽核報(bào)告寫(xiě)了，合規(guī)的報(bào)告指出了，讓他糾正，下回還是出現(xiàn)那些問(wèn)題，還是沒(méi)糾正。這就表明內(nèi)控失效。

第四就是內(nèi)部控制應(yīng)該有一套有效方法，要搞內(nèi)部控制，要控制風(fēng)險(xiǎn)，必須有一套完整的系統(tǒng)性的操作方法?，F(xiàn)在多數(shù)銀行在做這項(xiàng)工作的時(shí)候，都做得比較傳統(tǒng)，一些行領(lǐng)導(dǎo)忙于業(yè)務(wù)發(fā)展，滿(mǎn)足于“頭痛醫(yī)頭，腳痛醫(yī)腳”，怕內(nèi)控影響發(fā)展。實(shí)際上已經(jīng)有一套先進(jìn)的方法提了出來(lái)，我在我的那本書(shū)《公司治理與銀行控制》(中國(guó)金融出版社2001年版)里介紹了一整套的方法，而且對(duì)信貸、項(xiàng)目評(píng)審、信貸資產(chǎn)的五級(jí)分類(lèi)和銀行行長(zhǎng)選配等一些方面都做了一些理論聯(lián)系實(shí)際的探討。我希望總行帶頭規(guī)范地運(yùn)用這套好方法。

(待續(xù)）

注釋?zhuān)罕疚脑d于法律出版社2006年出版2007年再版的書(shū)《金融審判與銀行債權(quán)保護(hù)》。

銀行風(fēng)險(xiǎn)的識(shí)別、評(píng)估與內(nèi)部控制

楊海群

(接 I）

二、銀行內(nèi)部控制的足跡

下面我把我們?cè)谥袊?guó)銀行抓內(nèi)部控制的工作體會(huì)粗略介紹一下。我認(rèn)為我們行大概經(jīng)過(guò)了這么幾個(gè)階段。第一個(gè)階段是在20世紀(jì)90年代中期以前，只有少數(shù)的領(lǐng)導(dǎo)人員和少數(shù)的稽核人員知道內(nèi)部控制的概念，概念也不準(zhǔn)確，全行控制的意識(shí)是比較薄弱的，案件不斷發(fā)生。資產(chǎn)質(zhì)量也是越來(lái)越差。在那個(gè)階段里，銀行的問(wèn)題比改革以前要多。計(jì)劃經(jīng)濟(jì)的時(shí)候，銀行并沒(méi)有多少案件，不像今天這樣，動(dòng)不動(dòng)出現(xiàn)一個(gè)非常大的案件，每一次都要刷新記錄，過(guò)去沒(méi)有。就是改革之后，市場(chǎng)的約束沒(méi)上來(lái)，計(jì)劃的約束又丟了、失控了，所以資產(chǎn)質(zhì)量就下降。

第二個(gè)階段是推進(jìn)內(nèi)部控制的階段。那是1997年5月份人民銀行發(fā)布了“商業(yè)銀行內(nèi)部控制的指導(dǎo)原則”。我們總行要求制定中國(guó)銀行的內(nèi)部控制原則，我們抓了一個(gè)授權(quán)管理的制度規(guī)定，在人民銀行的授權(quán)管理規(guī)定基礎(chǔ)上做的。我們?cè)?998年正式公布了內(nèi)部控制原則，而且我們?cè)谀莻€(gè)時(shí)候就已經(jīng)在中國(guó)銀行正式文件中間明確了稽核要以COSO理論框架來(lái)檢查和評(píng)價(jià)內(nèi)控工作。對(duì)監(jiān)察報(bào)送有關(guān)材料進(jìn)行分析發(fā)現(xiàn)，我們行發(fā)生的案件絕大部分在基層。涉案人員絕大部分是基層的領(lǐng)導(dǎo)干部，大部分涉案人員又都是20多歲至30多歲的年輕人。后來(lái)我們總稽核室對(duì)總行零售業(yè)務(wù)首次進(jìn)行了內(nèi)控稽核檢查。

第三個(gè)階段，2000年前后我們進(jìn)入一個(gè)理論探索的階段。2000年我們組織總行兩個(gè)業(yè)務(wù)部門(mén)和兩個(gè)管理部門(mén)編寫(xiě)出版了一本書(shū)叫《中國(guó)銀行信貸內(nèi)控指引（貸款分冊(cè)）》。這里講一件小事，1998年的時(shí)候總行有個(gè)部門(mén)報(bào)告說(shuō)內(nèi)控到底由誰(shuí)抓，前行長(zhǎng)王雪冰在報(bào)告上大筆一揮：“內(nèi)控只是稽核部門(mén)的工作?！蔽覀円豢床粚?duì)了，我在人民銀行的《稽核監(jiān)督研究》上發(fā)表一篇文章《正確認(rèn)識(shí)內(nèi)控與稽核的關(guān)系》，實(shí)際上沒(méi)點(diǎn)名地針對(duì)這個(gè)批示，糾正錯(cuò)誤觀(guān)點(diǎn)。后來(lái)我們按照人民銀行的部署成立了一個(gè)信貸清分辦公室，當(dāng)時(shí)總行調(diào)我去同一些同事領(lǐng)導(dǎo)貸款的五級(jí)分類(lèi)，我運(yùn)用了COSO的內(nèi)部控制理論，組織清分辦公室的同志們共同編寫(xiě)了一套《中國(guó)銀行貸款資產(chǎn)分類(lèi)指南》，后來(lái)金融出版社出版了。

2001年中國(guó)金融出版社出版了我寫(xiě)的專(zhuān)著《公司治理與內(nèi)部控制》，我首次在內(nèi)部控制原理基礎(chǔ)上提出了一套內(nèi)控的比較完整的操作體系，提出了內(nèi)控、風(fēng)險(xiǎn)管理和公司治理三者之間到底是什么關(guān)系。王雪冰任職期間，行里的案子特別多，也使后來(lái)的領(lǐng)導(dǎo)感覺(jué)到加強(qiáng)內(nèi)部控制的重要性。中行的總行各個(gè)部門(mén)和分行逐步完善制度，加強(qiáng)內(nèi)控，提了很多很好的建議，其中一個(gè)就是將法律事務(wù)部改為法律與合規(guī)部。

第四個(gè)階段，我們進(jìn)入了內(nèi)控強(qiáng)化階段。因?yàn)?002年5月，人民銀行發(fā)布了《商業(yè)銀行的內(nèi)部控制指引》，進(jìn)一步將內(nèi)控提到一個(gè)新的高度，人民銀行開(kāi)展對(duì)中行各個(gè)部門(mén)的內(nèi)部控制全面檢查?？傂蟹膳c合規(guī)部根據(jù)行領(lǐng)導(dǎo)要求要研究?jī)?nèi)部控制，解決壞人做壞事想干干不成的問(wèn)題。由于內(nèi)部控制不好，到基層檢查工作的時(shí)候，會(huì)感到震驚。干得成壞事很自然，而干不成才奇怪？只要想干肯定干的成，干不成不奇怪，為什么呢？因?yàn)樵谝恍┉h(huán)節(jié)上幾乎沒(méi)控制。你說(shuō)錢(qián)箱的鑰匙他拿著，庫(kù)的鑰匙他拿著，庫(kù)里有登記簿由他登記，這樣的情況他能不貪污？給他條件讓他去偷，最后案子出來(lái)一檢查，保衛(wèi)工作的那些規(guī)定不落實(shí)。后來(lái)行領(lǐng)導(dǎo)組織了總經(jīng)理級(jí)以上的干部，召開(kāi)了研究會(huì)，研討我們行強(qiáng)化內(nèi)控建設(shè)的問(wèn)題，黨委中心組2004年專(zhuān)門(mén)組織擴(kuò)大會(huì)議，叫外部律師事務(wù)所講內(nèi)控，怎么加強(qiáng)內(nèi)部控制，讓我來(lái)宣講內(nèi)部控制，又制定“中國(guó)銀行進(jìn)一步完善總行部門(mén)和一級(jí)機(jī)構(gòu)以上領(lǐng)導(dǎo)干部教育監(jiān)督的若干措施”，從高層去解決這個(gè)問(wèn)題。

我們深深體會(huì)到合規(guī)工作是非常重要的?？墒呛弦?guī)工作不是純法律問(wèn)題，實(shí)際上是銀行業(yè)務(wù)的經(jīng)營(yíng)管理方面的問(wèn)題，是一個(gè)要熟悉銀行業(yè)務(wù)管理規(guī)定的問(wèn)題，這就給法律部門(mén)在職能上增加了新的內(nèi)容，就是不能只是從法律上審查問(wèn)題。另外，合規(guī)工作人員不能只是學(xué)法律的人，銀行建立了一個(gè)規(guī)矩，新員工進(jìn)了銀行以后，先到業(yè)務(wù)部門(mén)實(shí)習(xí)一年。合同審查的一個(gè)大問(wèn)題就是應(yīng)知道某個(gè)地方該不該這么做，但是如果沒(méi)經(jīng)驗(yàn)，不懂業(yè)務(wù)，就無(wú)法建議這個(gè)合同應(yīng)該怎么改。這項(xiàng)業(yè)務(wù)這么做不行，但是怎么做更好，他會(huì)很為難。搞合規(guī)的人，應(yīng)該具備什么條件呢？起碼要有三五年以上銀行業(yè)務(wù)工作經(jīng)驗(yàn)。就是說(shuō)搞合規(guī)的人要懂得銀行業(yè)務(wù)，而且今后大量的工作涉及合規(guī)性質(zhì)的問(wèn)題，法律性質(zhì)的工作需要把關(guān)，也很重要，但是訴訟的案件隨著銀行業(yè)的規(guī)范應(yīng)當(dāng)逐步減少下降，我們做了那么多年公司治理，做了那么多銀行改革，這么強(qiáng)調(diào)監(jiān)管，案件不應(yīng)該不斷上升，肯定今后的訴訟案會(huì)越來(lái)越少，非訴訟這塊工作會(huì)越來(lái)越重要。當(dāng)然不可能在短時(shí)間內(nèi)不搞訴訟，也可以說(shuō)長(zhǎng)久下去法律方面的審查工作都是需要的、都是重要的、都是不能削弱的，但是合規(guī)會(huì)成為重點(diǎn)性的工作。我們是通過(guò)自己的教訓(xùn)意識(shí)到這點(diǎn)的。

在這個(gè)階段里，由于認(rèn)識(shí)上的存在問(wèn)題，中國(guó)銀行在抓內(nèi)控工作中還存在時(shí)緊時(shí)松的現(xiàn)象，在忙于股份制改革時(shí)，內(nèi)部控制有所松滯，產(chǎn)生許多漏洞，以致在以后發(fā)生了一系列大案（例如我們黑龍江分行轄內(nèi)發(fā)生的震驚世界的高山事件），沉痛的教訓(xùn)是值得銘記的!(待續(xù)）

注釋?zhuān)罕疚脑d于法律出版社2006年出版2007年再版的書(shū)《金融審判與銀行債權(quán)保護(hù)》。

銀行風(fēng)險(xiǎn)的識(shí)別、評(píng)估與內(nèi)部控制

楊海群

（上接 III）

四、僅供參考的政策建議

政策性建議之一，明確內(nèi)部控制的評(píng)價(jià)標(biāo)準(zhǔn)。我們今后要健全內(nèi)控，就要有標(biāo)準(zhǔn)，干什么事都要有標(biāo)準(zhǔn)。我在20世紀(jì)90年代就提出過(guò)四條原則性的標(biāo)準(zhǔn)。第一是要有現(xiàn)代內(nèi)控理論做指導(dǎo)，這是一個(gè)理論體系，沒(méi)有這個(gè)體系做指導(dǎo)，非要自己?jiǎn)胃阋粩?，像許多人寫(xiě)書(shū)，左抄右抄最后弄一本書(shū)，用上自己的名字，也不說(shuō)明出處。我們的內(nèi)控依據(jù)應(yīng)當(dāng)扎實(shí)可靠，要站在前人成果的基礎(chǔ)上。第二是要形成完整的有機(jī)結(jié)合的整體。我前面給大家介紹的內(nèi)控體系和風(fēng)險(xiǎn)管理體系，就是一種有機(jī)結(jié)合的完整體系。內(nèi)控有四大目標(biāo)和五大組成部分，加上組織機(jī)構(gòu)這第三維空間，就是個(gè)有機(jī)整體。我們開(kāi)展內(nèi)控建設(shè)和管理，就應(yīng)該從這個(gè)框架(framework)出發(fā)。第三是方法上的先進(jìn)性和可操作性，就是實(shí)實(shí)在在地開(kāi)展內(nèi)部控制，制定一整套規(guī)范的方法去開(kāi)展內(nèi)控，這些方法也要能跟國(guó)際接軌，我的專(zhuān)著中介紹的那套方法是非常好的控制方法，是在總結(jié)國(guó)內(nèi)外經(jīng)驗(yàn)的基礎(chǔ)上提出來(lái)的。第四是內(nèi)控程序應(yīng)當(dāng)便于計(jì)算機(jī)化，你既然有高科技創(chuàng)造的PC和軟件，就應(yīng)能實(shí)行計(jì)算機(jī)化。

政策性建議之二，績(jī)效考核要有合規(guī)性的目標(biāo)和信息性的目標(biāo)。內(nèi)控有四個(gè)大目標(biāo)，現(xiàn)在大多數(shù)銀行主要提兩個(gè)目標(biāo)，特別是利潤(rùn)目標(biāo)(效益目標(biāo))，而沒(méi)有把合規(guī)性、信息性目標(biāo)提出來(lái)。美國(guó)一些公司的丑聞已經(jīng)導(dǎo)致各國(guó)強(qiáng)調(diào)目標(biāo)管理的全面性了，不是以利潤(rùn)目標(biāo)讓你得到獎(jiǎng)金。針對(duì)安然事件，美國(guó)國(guó)會(huì)通過(guò)的一個(gè)索克斯法，這個(gè)法律里面規(guī)定，高級(jí)管理層通過(guò)虛報(bào)瞞報(bào)財(cái)務(wù)報(bào)表贏(yíng)得的獎(jiǎng)金，一旦發(fā)現(xiàn)，就讓退回原有的獎(jiǎng)金，這等于把合規(guī)性和信息性(財(cái)務(wù)報(bào)告可靠性)的目標(biāo)作為績(jī)效考核的標(biāo)準(zhǔn)。

政策性建議之三，建議銀行把內(nèi)部控制的職能從風(fēng)險(xiǎn)管理部的工作中分離出來(lái)，不知道工行是不是這樣，我們?cè)?jīng)把它放在風(fēng)險(xiǎn)管理部，風(fēng)險(xiǎn)管理包含但不等同于內(nèi)部控制，“風(fēng)險(xiǎn)管理部”同“風(fēng)險(xiǎn)管理”不是同一概念。我一直這樣說(shuō)明，它們的職能不同，風(fēng)險(xiǎn)管理部門(mén)實(shí)行自身的內(nèi)控是應(yīng)該的，但是由這個(gè)部門(mén)去協(xié)調(diào)指導(dǎo)全部的內(nèi)部控制，就既可能干擾風(fēng)險(xiǎn)管理，又可能使內(nèi)部控制落空。另外內(nèi)部控制是全行各個(gè)部門(mén)的工作，當(dāng)然我們最好有一個(gè)比較有權(quán)威的委員會(huì)來(lái)領(lǐng)導(dǎo)，由一個(gè)獨(dú)立的部門(mén)具體管這個(gè)事。這里有一個(gè)正確處理風(fēng)險(xiǎn)管理和內(nèi)部控制的關(guān)系問(wèn)題，要理順風(fēng)險(xiǎn)管理和內(nèi)部控制的關(guān)系。

政策性建議之四，正確處理業(yè)務(wù)發(fā)展和管理控制的關(guān)系。現(xiàn)在應(yīng)該大力提倡可持續(xù)的發(fā)展戰(zhàn)略。所謂可持續(xù)的發(fā)展，聯(lián)合國(guó)有關(guān)機(jī)構(gòu)認(rèn)為應(yīng)當(dāng)是現(xiàn)時(shí)的發(fā)展不給后續(xù)的發(fā)展造成困難，我們這代人的發(fā)展不能給后代的發(fā)展造成任何妨礙。銀行也一樣。你這任行長(zhǎng)發(fā)放大批貸款，當(dāng)時(shí)有效益，新一任行長(zhǎng)接手時(shí)形成了一大筆爛賬，就不是可持續(xù)發(fā)展。這點(diǎn)恐怕是商業(yè)銀行普遍遇到的問(wèn)題。要建立信息交流制度，定期召開(kāi)管理部門(mén)和業(yè)務(wù)發(fā)展部門(mén)之間的溝通會(huì)，對(duì)業(yè)務(wù)的可持續(xù)發(fā)展進(jìn)行定期的評(píng)審。一方面要強(qiáng)調(diào)業(yè)務(wù)發(fā)展部門(mén)依法合規(guī)經(jīng)營(yíng)，審慎辦理各種項(xiàng)目，否則酌情追究責(zé)任。另一方面要研究制定管理控制部門(mén)和人員的責(zé)任追究制度，管理控制部門(mén)不是沒(méi)有責(zé)任，現(xiàn)在業(yè)務(wù)發(fā)展部門(mén)有數(shù)字指標(biāo)在那兒控制，沒(méi)有完成什么指標(biāo)，就得扣獎(jiǎng)金，管理部門(mén)沒(méi)有什么指標(biāo)，怎么干的獎(jiǎng)金都能發(fā)給你們。我以前也管過(guò)公司業(yè)務(wù)和結(jié)算業(yè)務(wù)，也深有體會(huì)。如果風(fēng)險(xiǎn)管理部審批一個(gè)項(xiàng)目拖拉怎么辦？因種種原因不批準(zhǔn)一個(gè)項(xiàng)目，風(fēng)險(xiǎn)管理部要不要承擔(dān)風(fēng)險(xiǎn)?風(fēng)險(xiǎn)管理部大筆一揮這個(gè)項(xiàng)目不能干，你就不能干，至于說(shuō)我們中行不辦，農(nóng)行接過(guò)來(lái)了，農(nóng)行給辦了，事后沒(méi)風(fēng)險(xiǎn)，還獲得了效益，還本付息很正常，追究不追究風(fēng)險(xiǎn)管理的責(zé)任?我曾經(jīng)跟風(fēng)險(xiǎn)管理的同事討論過(guò)這個(gè)問(wèn)題，他們說(shuō)那怎么追究，我在特定時(shí)期、特定情況下、特定政策下決定不批準(zhǔn)這個(gè)項(xiàng)目，農(nóng)行在他的環(huán)境里面批準(zhǔn)了這個(gè)項(xiàng)目，你怎么能說(shuō)我不對(duì)?這個(gè)問(wèn)題有待于研究。業(yè)務(wù)發(fā)展與管理控制是一對(duì)矛盾，它們既對(duì)立又統(tǒng)一。只有正確處理，在矛盾中不斷提高水平。最好兩方面的人員，包括風(fēng)險(xiǎn)管理、法律合規(guī)和稽核監(jiān)督人員，都應(yīng)該制定相關(guān)的責(zé)任制，要界定清楚什么情況屬于管理者失職或?yàn)^職。這樣才能處理好所謂“踩油門(mén)”和“踩剎車(chē)”的關(guān)系。

政策性建議之五，為了加強(qiáng)對(duì)操作風(fēng)險(xiǎn)的防范，要研究風(fēng)險(xiǎn)怎么計(jì)量，國(guó)外都有一套理論模型，這套理論運(yùn)用到我們中國(guó)銀行界怎么運(yùn)用？需要研究和建立我們的操作風(fēng)險(xiǎn)計(jì)量模型。另外，操作風(fēng)險(xiǎn)的激烈表現(xiàn)就是案件的發(fā)生。各級(jí)機(jī)構(gòu)負(fù)責(zé)人員都要切實(shí)重視案件防范工作。加強(qiáng)基層管理和內(nèi)控建設(shè)，落實(shí)規(guī)章制度，解決某些人想干干不成，干了早發(fā)現(xiàn)、早預(yù)警的問(wèn)題。要根治私設(shè)小金庫(kù)，銀行更不能發(fā)生這個(gè)問(wèn)題，小金庫(kù)最終帶來(lái)的后果是不好的?，F(xiàn)在我們?cè)诓楹Ｍ庑?，不讓海外行設(shè)小金庫(kù)。過(guò)去我們給海外行的工資比當(dāng)?shù)赝赓Y銀行發(fā)的低，怎么解決呢？他們經(jīng)總行批準(zhǔn)設(shè)一種小金庫(kù)，有時(shí)接待任務(wù)很重，也要有一點(diǎn)資金來(lái)源。但是我們發(fā)現(xiàn)設(shè)小金庫(kù)帶來(lái)的隱患很大，因此命令撤除小金庫(kù)。另外要禁止職工炒賣(mài)外匯或者炒賣(mài)股票，我們行發(fā)生的大量案例都是屬于規(guī)定了不許，但是還炒，炒輸了怎么辦？銀行人員從銀行掏錢(qián)比較容易，轉(zhuǎn)轉(zhuǎn)賬，搬搬科目，動(dòng)動(dòng)電腦上的鍵盤(pán)，就能解決這個(gè)問(wèn)題。我們要加大有關(guān)責(zé)任人的追究。

政策性建議之六，希望能夠?qū)嵤┮惶妆容^好的內(nèi)部控制操作方法，講了半天內(nèi)控，最終要落到實(shí)處，要開(kāi)展控制活動(dòng)，因此，應(yīng)當(dāng)運(yùn)用和不斷完善規(guī)范的操作內(nèi)控的方法。這與我們搞法律的也有關(guān)系。因?yàn)槲覀兎ㄒ?guī)部?jī)?nèi)現(xiàn)在設(shè)了合規(guī)處，這種把合規(guī)職能放在法律部門(mén)的方式還有待觀(guān)察和研究。我本人傾向把內(nèi)控與合規(guī)以及反洗錢(qián)等方面的職能歸屬到一個(gè)獨(dú)立的“內(nèi)控合規(guī)部”。我跟合規(guī)處同事們提出，如何通過(guò)一套完整的、比較先進(jìn)的操作方法，能夠讓人們合規(guī)。這里要有一套評(píng)價(jià)體系，要根據(jù)我前面講的內(nèi)容來(lái)進(jìn)行評(píng)價(jià)。前面講的我那本書(shū)里有這個(gè)圖，圖示的操作還是挺不容易的，要分幾個(gè)階段，這個(gè)流程包含學(xué)習(xí)理論原理階段、前期準(zhǔn)備階段、檢查階段、評(píng)價(jià)階段、報(bào)告階段，這是一套體系。如果真正實(shí)行了這套方法，我們國(guó)有商業(yè)銀行的內(nèi)部控制問(wèn)題，依法合規(guī)經(jīng)營(yíng)的問(wèn)題應(yīng)該不會(huì)很大。

以上所言是本人對(duì)銀行強(qiáng)化風(fēng)險(xiǎn)管理和內(nèi)部控制的一些粗淺的探討，以求引起各方面的高度重視。其中的一些問(wèn)題是帶普遍性的，各家銀行都在研究解決。雖然有些不是法律問(wèn)題，但是在銀行的法律工作中都應(yīng)當(dāng)了解。在改革開(kāi)放的大潮席卷神州的形勢(shì)之下，我們冷靜地研究銀行的控制職能，特別是探索銀行如何通過(guò)風(fēng)險(xiǎn)管理和內(nèi)部控制發(fā)揮支持和穩(wěn)定中國(guó)社會(huì)的可持續(xù)發(fā)展，應(yīng)當(dāng)不無(wú)意義。言多必失，歡迎批評(píng)指正。

(完）

注釋?zhuān)罕疚脑d于法律出版社2006年出版2007年再版的書(shū)《金融審判與銀行債權(quán)保護(hù)》。文中的圖示和注釋等因網(wǎng)絡(luò)格式轉(zhuǎn)換而未加。

銀行風(fēng)險(xiǎn)的識(shí)別、評(píng)估與內(nèi)部控制

楊海群

(接 II）

三、關(guān)于銀行內(nèi)部控制的探討

我想探討三個(gè)問(wèn)題：

1要深刻認(rèn)識(shí)銀行與非銀行的本質(zhì)區(qū)別。從理論上講，企業(yè)和銀行是存在重大區(qū)別的。銀行是個(gè)什么單位，它不是一般企業(yè)，現(xiàn)在改革的時(shí)候總強(qiáng)調(diào)銀行企業(yè)化，從銀行自負(fù)盈虧、自我約束角度提這個(gè)對(duì)，但是不全面。銀行不是一般性的企業(yè)，要不然干嘛不把企業(yè)叫銀行，干嘛不把銀行叫工廠(chǎng)?它們之間存在重要的區(qū)別。

為什么經(jīng)濟(jì)中會(huì)有銀行？因?yàn)殂y行是比較好的出資者和控制者。銀行是人類(lèi)社會(huì)文明發(fā)展到一定程度，生產(chǎn)力和經(jīng)濟(jì)發(fā)展到一定程度的產(chǎn)物。銀行這個(gè)詞叫Bank，原意是過(guò)去意大利文里的“板凳”，就是意大利的商貿(mào)發(fā)達(dá)了，慢慢一些商船出去了，都得辦理結(jié)算和匯兌業(yè)務(wù)，有些人坐在板凳上專(zhuān)門(mén)辦理這種業(yè)務(wù)，這就是銀行的雛形。銀行慢慢發(fā)展起來(lái)了，有了辦公室，又有了樓。但是為什么銀行業(yè)發(fā)展這么迅速，而且在全世界哪個(gè)國(guó)家都離不開(kāi)銀行，為什么？就是因?yàn)殂y行是很好的出資者，能夠融通資金，用很好的方式來(lái)支持經(jīng)濟(jì)活動(dòng)，同時(shí)在融資過(guò)程中實(shí)施必要的經(jīng)濟(jì)控制。大家都知道貸款有合同，合同是什么意思？合同的本質(zhì)是銀行對(duì)被貸款方、對(duì)借款人的控制。在什么時(shí)候必須還款，必須以多高的利息還款，不得挪用，等等，都訂到合同里。合同一經(jīng)雙方簽字認(rèn)可，就具有了法律效力。銀行一旦發(fā)現(xiàn)你挪用，依據(jù)合同有權(quán)追回貸款，而且一旦出現(xiàn)重大問(wèn)題的時(shí)候，可以到法院打官司。在西方，被銀行起訴了的借款人一般都會(huì)輸，被判罰。這就反映了銀行這個(gè)機(jī)構(gòu)特別。所以在國(guó)外沒(méi)有哪個(gè)個(gè)人或公司輕易地跟銀行打官司、鬧別扭?？梢?jiàn)銀行具有規(guī)范經(jīng)濟(jì)，控制企業(yè)的特殊職能。銀行是市場(chǎng)紀(jì)律的主要實(shí)施者之一。

某個(gè)人要借給另一個(gè)人錢(qián)一般是難以控制借方的，他說(shuō)還我，只能憑咱倆感情，憑我對(duì)你的認(rèn)識(shí)。但是一拖就是多少年不還。銀行把錢(qián)借給你可就不同了，因?yàn)殡p方之間訂了合同，你必須按時(shí)還本付息，否則就留下不良記錄，造成再借就難。大家可能知道有一個(gè)美國(guó)的經(jīng)濟(jì)學(xué)家 Stiglitz，他前兩年獲得諾貝爾獎(jiǎng)，他有一句著名的話(huà)，叫“銀行最鮮明的特點(diǎn)是有能力進(jìn)行控制”。

我們辦這么多商業(yè)銀行好不好？假如商業(yè)銀行的數(shù)量達(dá)到一定程度，讓它們自相廝殺，能不能發(fā)揮銀行控制經(jīng)濟(jì)的能力？西方理論界一直都特別強(qiáng)調(diào)，不要片面地促進(jìn)銀行之間的競(jìng)爭(zhēng)，為什么？因?yàn)樗麄兝斫忏y行的本質(zhì)。假若銀行控制企業(yè)，控制經(jīng)濟(jì)，自己互相廝殺，我降多少利率，你降利率更多，咱倆競(jìng)相降價(jià)，最后是什么？讓貸款的企業(yè)在中間叫板，這讓銀行怎么控制客戶(hù)和控制經(jīng)濟(jì)？還是讓客戶(hù)控制銀行？是讓借款的控制貸款的，還是貸款的控制借款的？這個(gè)問(wèn)題要解決。實(shí)際上我們講的銀行的控制與被控制是這么一個(gè)概念，商業(yè)銀行、中央銀行、企業(yè)這三種主體參與控制體系中來(lái)。這里有三層的控制職能：第一層是商業(yè)銀行被控制、被監(jiān)管，中央銀行控制和監(jiān)管商業(yè)銀行。第二層是我們銀行要自我控制，你自己要控制好自己，不要在去控制經(jīng)濟(jì)之前，你自己都失控了，你沒(méi)法控制你的客戶(hù)了。第三層是商業(yè)銀行要控制企業(yè)。這些企業(yè)要按照銀行的貸款規(guī)定去投資、去盈利、去回報(bào)，假如這個(gè)企業(yè)沒(méi)有信譽(yù)，我不貸給你。不是像以前那樣，地方政府逼迫銀行去貸款，那很可能要不回錢(qián)來(lái)?，F(xiàn)在大部分不良資產(chǎn)就是在1992年以后堆積起來(lái)了，那個(gè)時(shí)候是膽子要大一點(diǎn)，這大一點(diǎn)到后來(lái)是欲發(fā)不可收拾，我看到國(guó)內(nèi)通貨膨脹向兩位數(shù)攀登，曾從英國(guó)寫(xiě)信給時(shí)任朱镕基總理，建議強(qiáng)化銀行的信貸控制。中央肯定及時(shí)分析了經(jīng)濟(jì)形勢(shì)的發(fā)展。大約半年后，國(guó)務(wù)院不得不開(kāi)始實(shí)行政策控制，到那之后就好轉(zhuǎn)。

銀行的內(nèi)部控制還有更深一層的含義。實(shí)際上我們的下級(jí)機(jī)構(gòu)要接受總行的控制，總行也有一個(gè)自我控制的問(wèn)題，因?yàn)榭傂幸厕k營(yíng)業(yè)部，總行也搞項(xiàng)目、也搞營(yíng)銷(xiāo)，總行也會(huì)出現(xiàn)問(wèn)題。一級(jí)分行也有自我控制，同時(shí)一級(jí)分行還有一個(gè)控制二級(jí)分行的控制，控制轄內(nèi)機(jī)構(gòu)的問(wèn)題。各級(jí)銀行都有控制自己所管轄企業(yè)的問(wèn)題，控制貸款戶(hù)的問(wèn)題?，F(xiàn)在國(guó)內(nèi)的信貸形勢(shì)有不好的地方，就是銀行過(guò)度競(jìng)爭(zhēng)造成無(wú)法進(jìn)行控制。比如現(xiàn)在是銀行都去營(yíng)銷(xiāo)少數(shù)較好的客戶(hù)，工行去說(shuō)我的條件怎么怎么好，農(nóng)行接著說(shuō)我的條件怎么好，中行說(shuō)我的對(duì)外網(wǎng)絡(luò)好，我能提供什么服務(wù)，建行說(shuō)我的投資額度很大。使這些企業(yè)挑花眼了。有的業(yè)務(wù)現(xiàn)在已經(jīng)到了賠本的程度。我們中國(guó)銀行的國(guó)際結(jié)算業(yè)務(wù)應(yīng)該是好的，現(xiàn)在有些銀行跟我們競(jìng)爭(zhēng)，一競(jìng)爭(zhēng)是零費(fèi)率，目的要把我們的客戶(hù)搶過(guò)去。我們有一個(gè)二級(jí)分行在東南沿海地區(qū)的城市，另一家銀行把這個(gè)城市90％的國(guó)際結(jié)算業(yè)務(wù)全拉到這個(gè)銀行，原因是他不惜血本，而且總行給了他這個(gè)任務(wù)。我認(rèn)為這一種環(huán)境違背銀行的本質(zhì)職能，我說(shuō)的不是這家銀行，我說(shuō)的是這種環(huán)境，使銀行不得不屈從于借款人的苛刻條件，甚至為了使這個(gè)借款人不離開(kāi)我的保留范圍，不使我的市場(chǎng)占有率下降而喪失公平性市場(chǎng)原則。我還舉個(gè)例子，我曾經(jīng)在一個(gè)省行主管過(guò)公司和結(jié)算業(yè)務(wù)。財(cái)政搞統(tǒng)一支付，各家銀行就到省里來(lái)營(yíng)銷(xiāo)，由省財(cái)政局招標(biāo)確定財(cái)政支付系統(tǒng)中心設(shè)在哪家銀行，大家競(jìng)標(biāo)。雖然人民銀行有規(guī)定不允許任何商業(yè)銀行變相降低利率給客戶(hù)好處，但是那個(gè)時(shí)候不得不給好處，因?yàn)楦?jìng)標(biāo)，競(jìng)標(biāo)的時(shí)候就看你是讓我財(cái)政局低租金租用你銀行的房子還是免費(fèi)讓我租用，有銀行空出半層樓供財(cái)政建立這個(gè)系統(tǒng)，使用的電腦由這家行來(lái)提供，工行、農(nóng)行、建行拼命地設(shè)計(jì)“我來(lái)提供”，最后財(cái)政就問(wèn)了，你給我多少錢(qián)的設(shè)備費(fèi)，我們中行的同志回去連夜考慮，最后咬牙說(shuō)出300多萬(wàn)元，可另一家銀行競(jìng)標(biāo)的時(shí)候提出1000多萬(wàn)元。后來(lái)我們也知道，沒(méi)有真出1000萬(wàn)元，但是背后已經(jīng)談好了。你說(shuō)這種氛圍能實(shí)現(xiàn)我說(shuō)的銀行控制論嗎？如果經(jīng)濟(jì)不由銀行這個(gè)最有鮮明的特征的機(jī)構(gòu)來(lái)控制的話(huà)，這個(gè)經(jīng)濟(jì)能辦好嗎？你的企業(yè)能聽(tīng)話(huà)嗎？經(jīng)濟(jì)活動(dòng)參與者還服從市場(chǎng)紀(jì)律嗎？現(xiàn)在還要鼓勵(lì)辦多開(kāi)銀行，私人銀行，俄羅斯改革以后，兩三千家私人銀行，你現(xiàn)在問(wèn)問(wèn)倒閉了多少。匈牙利我去考察過(guò)，也是改革以后，他們建立私有化的銀行，不良資產(chǎn)不斷上升，為什么？那么容易就干銀行?中、農(nóng)、工、建銀行比拼，拼來(lái)拼去最后彈盡糧絕。最近我看一個(gè)評(píng)級(jí)公司在評(píng)我國(guó)一些股份制小銀行，最后除了招商銀行稍微好一點(diǎn)以外，其他銀行的級(jí)別都不高。我建議大家重溫一下列寧的《帝國(guó)主義論》，想一想為什么工業(yè)化產(chǎn)生金融寡頭。其實(shí)衡量銀行體系的好壞不在它有多大數(shù)目和多元化到什么程度，而在它對(duì)經(jīng)濟(jì)的控制和服務(wù)功能發(fā)揮得如何。

市場(chǎng)風(fēng)險(xiǎn)有沒(méi)有可能造成銀行倒閉？有人問(wèn)咱們中國(guó)的銀行還能倒閉嗎？都是國(guó)有的，只要有共產(chǎn)黨領(lǐng)導(dǎo)，再高的通貨膨脹，再低的資本金都沒(méi)有關(guān)系，一樣不會(huì)倒閉。這次中央為什么決策讓中行和建行上市，有些搞改革的同志一個(gè)勁地宣傳銀行上市以后，怎么怎么好，我卻從內(nèi)控角度說(shuō)銀行上市以后，怎么怎么有風(fēng)險(xiǎn)。我不反對(duì)銀行股份化和上市，我在英國(guó)出版的著作中還介紹過(guò)一些理論家關(guān)于轉(zhuǎn)軌經(jīng)濟(jì)中股份公司如何發(fā)揮作用的論述。但我也不認(rèn)為這是唯一的解決方式，更不能認(rèn)為只要體制更新了，機(jī)制一定會(huì)隨之好起來(lái)。一些熱衷于體制改革的同志不可否認(rèn)有其進(jìn)取心。但值得注意的是，體制層面上的變化雖然容易顯現(xiàn)業(yè)績(jī)，但內(nèi)部機(jī)制的轉(zhuǎn)變和完善是更實(shí)質(zhì)性的，來(lái)不得半點(diǎn)的短期行為。世界上銀行的治理結(jié)構(gòu)和運(yùn)作方式千差萬(wàn)別，很難把不同的經(jīng)驗(yàn)一般化，很難說(shuō)哪種結(jié)構(gòu)和方式照搬過(guò)來(lái)就一定適合中國(guó)的銀行。體制改革也不是萬(wàn)能的。西方市場(chǎng)中倒閉的股份制上市銀行并不少。一家銀行倒閉后還會(huì)掀起倒閉狂潮，危及社會(huì)?，F(xiàn)在提議銀行要改革，都在考慮怎么股份化，不外乎所有制要多元化等。我們銀行如果要上市，一個(gè)很重要的問(wèn)題就是想讓?xiě)?zhàn)略投資者進(jìn)來(lái)，但是投資者要進(jìn)來(lái)之前一定會(huì)先看咱們的管理和控制水平。水平太低別人不敢買(mǎi)你的股票，或者說(shuō)還沒(méi)下決心買(mǎi)你的股票。西方人看得很仔細(xì)，我在行里主管反洗錢(qián)，戰(zhàn)略投資者為這方面的事調(diào)查我們行好幾次，拿出一系列問(wèn)題問(wèn)我們。所有制的實(shí)質(zhì)在于你的控制機(jī)制，你過(guò)去是國(guó)家控制，國(guó)家控制從某個(gè)角度可能有壞處。國(guó)家控制我，所有利潤(rùn)都上交，多發(fā)點(diǎn)獎(jiǎng)金發(fā)不了。你可能不承認(rèn)，我們中行員工的薪水曾長(zhǎng)期處在較低水平。聽(tīng)行外有人說(shuō)：中行的服務(wù)質(zhì)量差，追究其中一個(gè)原因就是獎(jiǎng)金少。站在中行的員工角度上，會(huì)覺(jué)得不如上市，上市以后股份制，財(cái)政部別卡我了，靈活性就大一些了。但是如果財(cái)政部不控制，總有第三只手要控制，不可能沒(méi)人控制，當(dāng)?shù)谌皇挚刂颇愕臅r(shí)候，可能比財(cái)政部還厲害。光想著財(cái)政部控制那么嚴(yán)，沒(méi)想到財(cái)政部還是你母親，媽有的時(shí)候看你哭還掉眼淚松松手，但是第三只手控制的時(shí)候非常殘酷。

2控制環(huán)境的建設(shè)有持高級(jí)管理層的支持。在控制環(huán)境方面涉及一些問(wèn)題值得關(guān)注，管理層是不是明確維護(hù)內(nèi)部的完整性，這是非常重要的，特別是高級(jí)管理層，比如說(shuō)總行的領(lǐng)導(dǎo)，一級(jí)分行的行長(zhǎng)這些負(fù)責(zé)人，他們是不是明確維護(hù)內(nèi)部控制系統(tǒng)？包括規(guī)章制度的建設(shè)，組織結(jié)構(gòu)這方面的合理性，都非常重要。還要看這個(gè)銀行有沒(méi)有積極的控制管理，是不是在整個(gè)組織中間具有控制覺(jué)悟或者自覺(jué)的控制態(tài)度?行長(zhǎng)們對(duì)內(nèi)控的基調(diào)是不是積極?單位里的員工其能力和他們的責(zé)任是不是相匹配?這里就涉及單位的人事政策，應(yīng)該審理人事部門(mén)人事的管理程序和管理規(guī)定。管理層的經(jīng)營(yíng)風(fēng)格、授權(quán)、責(zé)任、組織和業(yè)務(wù)發(fā)展的方式是不是適當(dāng)?法律部門(mén)難以承擔(dān)授權(quán)管理這個(gè)職責(zé)，但是有一個(gè)問(wèn)題值得探討，就是授權(quán)管理的合規(guī)性是需要有人控制的，我們目前還沒(méi)有控制到，我們?cè)趦?nèi)控上是有缺陷的。

行長(zhǎng)也好，董事會(huì)也好，稽核委員會(huì)也好，是不是對(duì)內(nèi)部控制給予足夠的重視了?巴塞爾委員會(huì)是這樣說(shuō)的，董事會(huì)應(yīng)該負(fù)責(zé)批準(zhǔn)并且定期審查整個(gè)經(jīng)營(yíng)戰(zhàn)略和銀行重大政策，理解銀行經(jīng)營(yíng)的主要風(fēng)險(xiǎn)，確定這些風(fēng)險(xiǎn)的可接受的水平，保證高級(jí)管理層采取必要的步驟，識(shí)別、衡量、評(píng)審和控制風(fēng)險(xiǎn)。銀行的組織結(jié)構(gòu)是由董事會(huì)批準(zhǔn)的，高級(jí)管理層也要不斷評(píng)審內(nèi)控系統(tǒng)的有效性，在確保建立和維護(hù)充分和有效的內(nèi)控系統(tǒng)方面，董事會(huì)富有最終的責(zé)任。我們最近也在討論一個(gè)問(wèn)題，我們行要成立一個(gè)主管內(nèi)控的一個(gè)處室，大家發(fā)現(xiàn)內(nèi)控沒(méi)有一定的組織保證不行，就要成立內(nèi)控處。這個(gè)內(nèi)控處設(shè)在哪兒？就是一個(gè)極為頭疼的問(wèn)題。后來(lái)還是鑒于風(fēng)險(xiǎn)管理部的權(quán)威性比較高，把它放在風(fēng)險(xiǎn)管理部。但是風(fēng)險(xiǎn)管理和風(fēng)險(xiǎn)管理部并非一回事，風(fēng)險(xiǎn)管理是個(gè)很寬泛的概念，而銀行設(shè)風(fēng)險(xiǎn)管理部主要還是為了識(shí)別和評(píng)估信用方面的風(fēng)險(xiǎn)而制定政策并把關(guān)。風(fēng)險(xiǎn)管理部并不是管內(nèi)部控制這方面的。后來(lái)實(shí)踐也證明，風(fēng)險(xiǎn)管理部根本沒(méi)有精力管這部分，項(xiàng)目的評(píng)審、客戶(hù)的評(píng)級(jí)、政策的制定、行業(yè)分析都已經(jīng)讓他們負(fù)擔(dān)很重了。這個(gè)內(nèi)控處掛靠在風(fēng)險(xiǎn)管理部，它們草擬了一個(gè)文件，其中提到負(fù)責(zé)內(nèi)部控制的是風(fēng)險(xiǎn)管理委員會(huì)。后來(lái)拿到我們部提意見(jiàn)，我給他提了意見(jiàn)，我說(shuō)風(fēng)險(xiǎn)管理委員會(huì)不是內(nèi)控的最終責(zé)任承擔(dān)者，最終的責(zé)任承擔(dān)者是董事會(huì)，與其他行不一樣，我們行有過(guò)董事會(huì)，這個(gè)董事會(huì)與20世紀(jì)90年代以前的人大常委會(huì)差不多，它并不是主要責(zé)任人，是一些人退休后，安排當(dāng)一個(gè)董事，不像國(guó)外的董事真是代表股東的權(quán)益，有決策權(quán)。

巴塞爾委員會(huì)對(duì)高級(jí)管理層也提出了建議，就是高級(jí)管理層要維護(hù)組織結(jié)構(gòu)，確定并執(zhí)行適當(dāng)?shù)膬?nèi)控政策。例如國(guó)外都有合規(guī)政策，是法律與合規(guī)部或者合規(guī)部負(fù)責(zé)的，我研究這個(gè)問(wèn)題，究竟合規(guī)政策怎么制定?實(shí)際上很重要的就是認(rèn)識(shí)內(nèi)部控制。合規(guī)是依法合規(guī)，依法合規(guī)是前面介紹的內(nèi)控的第四大目標(biāo)，而合規(guī)和內(nèi)控是什么關(guān)系。內(nèi)控里一個(gè)重要組成部分是“控制活動(dòng)”，合規(guī)是制定規(guī)章制度以后，看你是不是遵循，這應(yīng)是最主要的控制活動(dòng)。我們銀行出現(xiàn)的案件都是違規(guī)才出現(xiàn)的，如果100％按照規(guī)定去做，怎么會(huì)出案件?所以?xún)?nèi)部控制重點(diǎn)的一個(gè)問(wèn)題就是抓合規(guī)性的控制，合規(guī)性的控制就是控制活動(dòng)的主要的內(nèi)容，所以你說(shuō)內(nèi)控和合規(guī)是什么關(guān)系?合規(guī)是內(nèi)部控制的重要內(nèi)容。總行的規(guī)章制度非常多，對(duì)于下面的人是不是可操作？總行不管；制定的規(guī)章制度互相矛盾，總行也不管。甚至制定出的規(guī)章制度還不全面，沒(méi)有真正的防范風(fēng)險(xiǎn)，就下達(dá)了，分行接了一種規(guī)章制度就跟接一個(gè)文一樣不執(zhí)行，不合規(guī)成了一種文化。這個(gè)是高級(jí)管理層要管的，必須維護(hù)良好的控制文化。

3銀行當(dāng)前要特別控制的幾種風(fēng)險(xiǎn)值得研究。（1）道德風(fēng)險(xiǎn)。銀行要特別加強(qiáng)銀行的道德建設(shè)，我們發(fā)現(xiàn)這是控制出現(xiàn)問(wèn)題，不合規(guī)的一個(gè)重要原因。有些基層出問(wèn)題，就是因?yàn)檫x聘的人不講職業(yè)道德，同時(shí)出現(xiàn)很多給銀行干活實(shí)際上為自己干的情況。先是間接為自己干，然后就直接為自己干。有一家支行的女行長(zhǎng)最后查出兩億多元的不良資產(chǎn)，你說(shuō)怎么整的，她有多大的權(quán)限？后來(lái)發(fā)現(xiàn)她丈夫和她兒子開(kāi)公司，錢(qián)都跑到他們家，她當(dāng)支行行長(zhǎng)當(dāng)然好了，這也是一種“公司治理”。據(jù)說(shuō)她家里寶馬車(chē)有兩三輛，稽核去查的時(shí)候，女支行行長(zhǎng)珠光寶氣。當(dāng)時(shí)有個(gè)稽核人員建議馬上雙規(guī)起來(lái)，誰(shuí)想沒(méi)等查清人家跑了，到現(xiàn)在也沒(méi)找到。那是幾年前的事了。這說(shuō)明怎么強(qiáng)調(diào)我們員工的職業(yè)道德教育都不過(guò)分。我們現(xiàn)在使用干部的時(shí)候不太關(guān)注道德風(fēng)險(xiǎn)，喜歡用和自己一致的“順手”的人，不善于從干部所管單位的群眾中了解干部的道德?tīng)顩r，也不注意進(jìn)行道德教育，甚至壓制群眾去服從某些所謂“有能力”甚至用權(quán)術(shù)的干部。這是銀行不斷產(chǎn)生高管人員案件的重要根源。選人其實(shí)選文化，用錯(cuò)了一個(gè)人就提倡了一種錯(cuò)誤的文化，會(huì)影響一大片。在座的處級(jí)干部，你們管底下的人員好管嗎？不好管。為什么？那個(gè)時(shí)代的奮斗精神、敬業(yè)精神、去掉個(gè)人私心雜念來(lái)維護(hù)集體的精神和銀行的利益高于一切的精神，現(xiàn)在都淡漠了，所以怎么能夠不出失控的問(wèn)題？不是說(shuō)改革了以后，這些問(wèn)題就自然消失了。因此普遍開(kāi)展職業(yè)道德教育十分必要。巴塞爾委員會(huì)指出：有問(wèn)題銀行的案例中經(jīng)?？吹絻?nèi)部失控，其中一大問(wèn)題就是缺乏足夠的管理監(jiān)督和負(fù)責(zé)評(píng)估的能力，或者我們叫盡職，就是沒(méi)有能夠在銀行中發(fā)展一種很強(qiáng)的控制文化，重大損失的例子當(dāng)中，無(wú)一例外地反映出銀行控制中管理疏忽和松懈，董事會(huì)和高級(jí)管理層的領(lǐng)導(dǎo)督促不力或者不充分，通過(guò)職務(wù)和責(zé)任的安排，看出管理者缺乏清晰的評(píng)估能力，有些案例也反映出管理層缺乏適當(dāng)?shù)募?lì)機(jī)制，去對(duì)經(jīng)營(yíng)層進(jìn)行強(qiáng)有力的監(jiān)督，業(yè)務(wù)經(jīng)營(yíng)和管理人員沒(méi)有保持高水平的控制覺(jué)悟。這是巴塞爾委員會(huì)提出來(lái)，是在總結(jié)國(guó)際上許多倒閉的銀行和銀行中發(fā)現(xiàn)重大案件中總結(jié)出來(lái)的。

（2）人事風(fēng)險(xiǎn)是銀行值得高度關(guān)注的風(fēng)險(xiǎn)。銀行首要的風(fēng)險(xiǎn)是人事風(fēng)險(xiǎn)。首先是我國(guó)銀行高級(jí)管理層的風(fēng)險(xiǎn)。我在2001年寫(xiě)過(guò)一篇獲獎(jiǎng)?wù)撐模}為“加強(qiáng)選配評(píng)審，防止領(lǐng)導(dǎo)風(fēng)險(xiǎn)”。在論證一番之后我得出結(jié)論：在銀行的各種風(fēng)險(xiǎn)中間，人事風(fēng)險(xiǎn)最大；在人事風(fēng)險(xiǎn)當(dāng)中，管理層的風(fēng)險(xiǎn)最大；在管理層的風(fēng)險(xiǎn)中，領(lǐng)導(dǎo)班子的風(fēng)險(xiǎn)最大；在領(lǐng)導(dǎo)班子的風(fēng)險(xiǎn)當(dāng)中，“一把手”的風(fēng)險(xiǎn)最大。這并不是在講“一把手”都不好。我前面講過(guò)什么是風(fēng)險(xiǎn)：風(fēng)險(xiǎn)是可能妨礙公司目標(biāo)實(shí)現(xiàn)的因素。顯然公司總經(jīng)理和銀行董事長(zhǎng)及行長(zhǎng)的決策行動(dòng)對(duì)目標(biāo)實(shí)現(xiàn)的影響最大。好的“一把手”能夠承認(rèn)這一點(diǎn)，從而認(rèn)真肩負(fù)起全面的領(lǐng)導(dǎo)責(zé)任，確保副手各盡其職，并主動(dòng)接受副手監(jiān)督。確實(shí)有些人反其道而行之，形成了風(fēng)險(xiǎn)，甚至招致了巨大損失。

這里不妨提一下銀行總行這些老總們的風(fēng)險(xiǎn)。我們總行的領(lǐng)導(dǎo)都是從部門(mén)總經(jīng)理或者一級(jí)分行的行長(zhǎng)提升上來(lái)的，這些總經(jīng)理是不是總行乃至我國(guó)銀行界最優(yōu)秀的呢？對(duì)總經(jīng)理室成員有沒(méi)有授權(quán)制度呢？我應(yīng)聘在外資銀行當(dāng)管理人員的時(shí)候，首先接到的就是我的授權(quán)書(shū)，在這個(gè)授權(quán)書(shū)里，明確規(guī)定我向誰(shuí)報(bào)告工作。我到中國(guó)銀行這么多年，沒(méi)有任何人給我授權(quán)，到目前為止，我做合規(guī)工作，沒(méi)有任何人給我授權(quán)，我是什么樣的權(quán)限，明確的沒(méi)有，不僅我沒(méi)有，其他老總大部分也沒(méi)有，甚至“一把手”也沒(méi)有，只有口頭授權(quán)，非正式的授權(quán)，而且這種授權(quán)很難說(shuō)在什么情況下越權(quán)，在什么情況下有權(quán)自己獨(dú)立處理事務(wù)，那就因部門(mén)而異，因不同部門(mén)的“一把手”不同，他的管理風(fēng)格不同而不同。部門(mén)總經(jīng)理室沒(méi)有統(tǒng)一的符合民主集中制的工作制度。在有些部門(mén)重大事項(xiàng)由“一把手”一個(gè)人或由他找合自己意的人簡(jiǎn)單決定，只是為了避嫌才有時(shí)走個(gè)開(kāi)會(huì)的形式。如果銀行里放任這種機(jī)制，如何教育和監(jiān)督部門(mén)總經(jīng)理?如何防止“一把手”出現(xiàn)道德問(wèn)題?

另外，在我們的員工中有一些有特殊背景的員工，對(duì)他們應(yīng)不應(yīng)該有特殊政策?現(xiàn)在什么地方最好，人們就把子女送進(jìn)什么地方?！拔母铩逼陂g走后門(mén)最好的去處是參軍，誰(shuí)要是家里有關(guān)系誰(shuí)參軍。后來(lái)70年代是誰(shuí)要有關(guān)系進(jìn)好工廠(chǎng)。后來(lái)改革開(kāi)放，國(guó)營(yíng)企業(yè)紛紛倒閉，現(xiàn)在人們認(rèn)為最可靠的是進(jìn)銀行，所以許多有地位的人士都把子女送到銀行來(lái)。銀行好不好管？現(xiàn)在一些領(lǐng)導(dǎo)感覺(jué)挺難管的。什么叫有特殊背景？很難定義。當(dāng)年毛澤東三令五申不準(zhǔn)高干子弟搞特殊化。人事政策同銀行的企業(yè)文化有關(guān)系，我們現(xiàn)在將人事部改叫人力資源部，實(shí)際上就是人力資源市場(chǎng)化管理，關(guān)系學(xué)和人力資源市場(chǎng)化管理是矛盾的。西方有幾個(gè)學(xué)者發(fā)表了一篇論文講中國(guó)的關(guān)系學(xué)，他們說(shuō)西方是不講關(guān)系的市場(chǎng)關(guān)系，中國(guó)是東方的那種以關(guān)系學(xué)為主導(dǎo)的市場(chǎng)關(guān)系，他們說(shuō)這兩個(gè)都有一定的缺陷，最后的結(jié)論就是今后是不是西方能增加一點(diǎn)人情色彩，東方是不是減少點(diǎn)人情色彩。在管理人方面還是應(yīng)該一視同仁。我個(gè)人覺(jué)得國(guó)有商業(yè)銀行內(nèi)控的問(wèn)題，首先是人的問(wèn)題，不要搞拉拉扯扯和吹吹拍拍抬轎子，銀行尤其不能無(wú)原則地允許拉幫結(jié)派，要半軍事化管理。各級(jí)員工嚴(yán)守紀(jì)律，不分親疏，不應(yīng)允許下級(jí)繞過(guò)直接上級(jí)去借助關(guān)系謀取個(gè)人便利。我們總行干部要從嚴(yán)要求，上得順理成章，下得順其自然。當(dāng)然讓干部上或下都應(yīng)該有充分的理由，而且把理由向當(dāng)事人實(shí)事求是地講清楚，防止“暗箱操作”，防止利用“能上能下”去拉幫結(jié)派或打擊報(bào)復(fù)，防止以次充好。武漢市搞的人事改革試點(diǎn)，解決干部能下的問(wèn)題要靠機(jī)制創(chuàng)新，解決三個(gè)問(wèn)題：標(biāo)準(zhǔn)問(wèn)題、渠道問(wèn)題、保障問(wèn)題。大量裁員中一個(gè)困難就是保障問(wèn)題，要解決干部下了以后怎么辦的問(wèn)題，不能說(shuō)用人家的時(shí)候用人家，等下來(lái)的時(shí)候不管了。

（3）制度風(fēng)險(xiǎn)不容忽視。銀行是一個(gè)需要高度關(guān)注制度規(guī)定的行業(yè)。從表面看，銀行的規(guī)章制度堆積如山，似乎已經(jīng)很完善了。其實(shí)不然。形勢(shì)的發(fā)展、科技的進(jìn)步、新產(chǎn)品的不斷涌現(xiàn)，呼吁銀行進(jìn)一步加強(qiáng)規(guī)章制度的建設(shè)。管理的實(shí)質(zhì)在于制定高質(zhì)量的相互協(xié)調(diào)一致的規(guī)章制度，并且推動(dòng)這些規(guī)制有效地執(zhí)行和落實(shí)。我們行在規(guī)章制度建設(shè)和管理中間，發(fā)現(xiàn)有些問(wèn)題，規(guī)章制度制定的規(guī)范機(jī)制缺位，各級(jí)行都有權(quán)制定規(guī)章制度，沒(méi)有一個(gè)程序來(lái)保證規(guī)章制度制定的質(zhì)量。這樣質(zhì)量就有問(wèn)題了。一方面主管部門(mén)制定規(guī)章制度的時(shí)候沒(méi)有規(guī)劃，有隨意性(當(dāng)然隨意性不是到處都非常大)，缺乏對(duì)規(guī)章制度的論證，征求意見(jiàn)的范圍程序等也缺乏規(guī)定。另一方面在規(guī)章制度頒布并實(shí)施的時(shí)候，是不是需要測(cè)試?規(guī)章制度一經(jīng)制定出來(lái)就要執(zhí)行，還是先找?guī)讉€(gè)支行做試點(diǎn)試行，要不要對(duì)規(guī)章制度進(jìn)行事后評(píng)價(jià)?規(guī)章制度執(zhí)行一兩年，評(píng)價(jià)一下規(guī)章制度對(duì)不對(duì)，有沒(méi)有缺陷，到底有沒(méi)有可操作性，這是一個(gè)很重要的問(wèn)題?？傂幸话憬拥饺嗣胥y行和中央的規(guī)定就要落實(shí)中央的規(guī)定，制定一些規(guī)章制度。但把它們拿到分行、支行以后，人家看了很痛苦，為什么痛苦？因?yàn)樗麄儧](méi)法操作，這就是有問(wèn)題。后評(píng)價(jià)是一種機(jī)制，能否導(dǎo)致起動(dòng)相應(yīng)的規(guī)章制度修改或者廢止的程序。評(píng)價(jià)完了以后，應(yīng)當(dāng)明確這個(gè)規(guī)章制度行不行、要不要廢止，誰(shuí)來(lái)說(shuō)廢止的話(huà)。

還有就是規(guī)章制度欠缺合法合規(guī)性的程序保證，因?yàn)闆](méi)有強(qiáng)制性的程序，致使規(guī)章制度和外部法律法規(guī)相沖突，出現(xiàn)不一致的現(xiàn)象?，F(xiàn)在我們的規(guī)章制度要送審法律與合規(guī)部，送我這兒的規(guī)章制度中一大審查內(nèi)容就是它合不合法，合不合人民銀行、中國(guó)政府的政策和規(guī)定。如果沒(méi)有一個(gè)程序，有些和人民銀行的規(guī)定相沖突，也導(dǎo)致不可操作。

還有一個(gè)問(wèn)題是規(guī)章制度種類(lèi)紛雜，缺乏統(tǒng)一規(guī)范。我們行過(guò)去的規(guī)章制度有24種，大量的通知、批復(fù)，函、附件等都構(gòu)成規(guī)章制度，名稱(chēng)缺乏統(tǒng)一規(guī)范，也導(dǎo)致規(guī)章制度命名的隨意性。什么叫管理規(guī)定，什么叫實(shí)施細(xì)則，什么叫做制度，出現(xiàn)相似內(nèi)容運(yùn)用不同的規(guī)章制度加以規(guī)范的情形。加上沒(méi)有對(duì)以上不同名稱(chēng)的規(guī)章制度進(jìn)行有層次的規(guī)定和說(shuō)明，不但使用者眼花繚亂，大大削弱了規(guī)章制度的嚴(yán)肅性、權(quán)威性和系統(tǒng)性。

規(guī)章制度的信息化管理滯后，使員工難以了解規(guī)章制度所覆蓋的信息，總行發(fā)了個(gè)規(guī)章制度下來(lái)，在一級(jí)分行幾位行長(zhǎng)中間傳閱，傳閱到最后有的都找不著了，有的是推，已經(jīng)到了需要向總行匯報(bào)情況的時(shí)候，其規(guī)章制度還沒(méi)有下發(fā)到執(zhí)行部門(mén)。進(jìn)行規(guī)章制度培訓(xùn)也是很必要的。尤其在貫徹執(zhí)行新規(guī)章制度的時(shí)候，人們對(duì)新的規(guī)定不熟悉，還沒(méi)有建立新的執(zhí)行機(jī)制，所以落實(shí)就大打折扣了。具體操作部門(mén)作為防范風(fēng)險(xiǎn)的第一道防火墻，需要及時(shí)掌握規(guī)制，總行的規(guī)章制度應(yīng)當(dāng)下發(fā)到使用者。我們經(jīng)常發(fā)現(xiàn)下去檢查工作的時(shí)候，包括稽核檢查工作的時(shí)候，一問(wèn)規(guī)章制度怎么落實(shí)的，他們連見(jiàn)都沒(méi)見(jiàn)過(guò)。所以現(xiàn)在就實(shí)行無(wú)紙化的規(guī)章制度(電子化)。我們行現(xiàn)在一般的規(guī)章制度全部都是走電子系統(tǒng)，總經(jīng)理在批規(guī)章制度的時(shí)候全在電子信箱里簽字，這也是提高速度，不用打印了，會(huì)簽的時(shí)候在總行不同部門(mén)老總中間按照授權(quán)簽字。

國(guó)家應(yīng)有“立法法”，銀行也應(yīng)該有。應(yīng)制定銀行的“立法法”，銀行規(guī)章制度管理辦法，來(lái)規(guī)范規(guī)章制度，通過(guò)嚴(yán)格合理的程序來(lái)設(shè)計(jì)和制定，使制定規(guī)章制度的程序規(guī)范、科學(xué)、連續(xù)、協(xié)調(diào)、統(tǒng)一、具有共享性，這個(gè)叫做法治和法制的統(tǒng)一。通過(guò)良好的程序設(shè)計(jì)，比如規(guī)定草案的規(guī)劃，會(huì)簽頒布，試行推廣，檢查和后評(píng)價(jià)，制定明確的程序來(lái)實(shí)行。另外，對(duì)規(guī)章制度的管理也要做一些相關(guān)的規(guī)定。

（4）還有一種風(fēng)險(xiǎn)叫組織結(jié)構(gòu)風(fēng)險(xiǎn)。中國(guó)銀行一直有董事會(huì)，但是這個(gè)董事會(huì)應(yīng)該是什么職能，現(xiàn)在是黨委書(shū)記、董事長(zhǎng)、行長(zhǎng)是一個(gè)人，今天看起來(lái)這種機(jī)制不對(duì)，行領(lǐng)導(dǎo)怎么進(jìn)行分工和合作?總行的部門(mén)怎么劃分職責(zé)?銀行各個(gè)部門(mén)之間出現(xiàn)一種叫“扯皮文化”，有人稱(chēng)“免責(zé)文化”，大家都不愿意負(fù)這個(gè)責(zé)任，有責(zé)任的時(shí)候推諉。這里有文化問(wèn)題，也有組織機(jī)構(gòu)設(shè)置和職能界定問(wèn)題。辦文辦事拖拉，肯定降低工作效率，導(dǎo)致?lián)p失。內(nèi)部控制究竟需不需要有專(zhuān)門(mén)的機(jī)構(gòu)來(lái)管理?需不需要從屬于某個(gè)委員會(huì)?從屬于哪個(gè)委員會(huì)?如何以控制文化來(lái)取代這種所謂的“扯皮文化”和“免責(zé)文化”?這些都是我們值得研究的。

（5）應(yīng)該大力防范操作性風(fēng)險(xiǎn)。首先案件的風(fēng)險(xiǎn)控制需要認(rèn)真研究。我不覺(jué)得控制風(fēng)險(xiǎn)就是防范案件，案件是失控的典型表現(xiàn)，但不是唯一表現(xiàn)。事要發(fā)展到出案子了，要讓法院來(lái)管了，就太嚴(yán)重了！大量的失控不是案件，但是案件本身是失控的典型表現(xiàn)。因此不注重案件的分析和管理實(shí)際上是不對(duì)的，是我們白交學(xué)費(fèi)。而且案件是一面明鏡，能照出銀行在控制上存在的問(wèn)題，在法規(guī)上、在遵循上存在的問(wèn)題。

我這兒也有一些案例，三防一保方面的案例，稽核方面的違規(guī)案例，我們確確實(shí)實(shí)有大量失控的例子。1996年有一個(gè)辦事處的副主任，兩個(gè)人共同策劃，利用已經(jīng)過(guò)期的存單采取不進(jìn)賬的手法截留一個(gè)公司的存款600萬(wàn)元，其中一部分作為利差返回公司，一部分作為該公司存款中介手續(xù)費(fèi)。他把剩余的400多萬(wàn)元都劃往了另一單位的營(yíng)業(yè)部，給以其妻舅為法人代表注冊(cè)成立的一個(gè)貿(mào)易發(fā)展公司，作驗(yàn)資款用，然后把其中200多萬(wàn)元?jiǎng)澋缴虾杉夜?，?00多萬(wàn)元?dú)w還儲(chǔ)蓄戶(hù)，剩下的100多萬(wàn)元?jiǎng)澋胶匣镒靼溉说馁~上，用于經(jīng)營(yíng)。最后這個(gè)案子追回了200多萬(wàn)元，查扣了100多萬(wàn)元，有300多萬(wàn)元資金難以追回。工、農(nóng)、建行都可能發(fā)生這類(lèi)案子。我們最后把他開(kāi)除公職，移送司法機(jī)關(guān)處理，有八名涉案人員和領(lǐng)導(dǎo)分別被警告和記大過(guò)處分，有一個(gè)人被辭退。我們總結(jié)教訓(xùn)的時(shí)候就有這么幾條，一個(gè)是思想教育和素質(zhì)培養(yǎng)上缺乏有效的方法和措施。這個(gè)人文化水平比較低，大概高中畢業(yè)，思想教育松懈在那個(gè)時(shí)期是很普遍的。另外我們對(duì)抓基層行網(wǎng)點(diǎn)機(jī)構(gòu)的管理缺乏力度，對(duì)法規(guī)制度落實(shí)不到位，監(jiān)督制約機(jī)制不夠健全，這個(gè)案子反映出我們一系列失控的問(wèn)題。在會(huì)計(jì)、儲(chǔ)蓄、結(jié)算等業(yè)務(wù)環(huán)節(jié)空白存單和業(yè)務(wù)公章、個(gè)人名章等的保管方面都存在一些漏洞。規(guī)章制度形同虛設(shè)，違規(guī)違章操作比較嚴(yán)重，個(gè)別員工明知不對(duì)，仍按領(lǐng)導(dǎo)意思辦理業(yè)務(wù)。知道不對(duì)，但是經(jīng)辦人照常去做。加上對(duì)內(nèi)部管理缺乏監(jiān)督、制約，形成了重大損失。

這個(gè)案例實(shí)際上從控制環(huán)境的角度看出這個(gè)分理處存在的問(wèn)題。我前面介紹了內(nèi)部控制理論，從那個(gè)理論出發(fā)，我們可以看到銀行如果要想健全內(nèi)控，防范風(fēng)險(xiǎn)，要想對(duì)內(nèi)控和合規(guī)情況進(jìn)行檢查和評(píng)價(jià)，應(yīng)該運(yùn)用一套規(guī)范的方法?？梢园凑諆?nèi)控的五大組成部分，一個(gè)部分一個(gè)部分去進(jìn)行檢查評(píng)價(jià)，而且人民銀行的內(nèi)控指導(dǎo)原則已經(jīng)給我們提出來(lái)應(yīng)該怎么抓。

（待續(xù)）

銀行風(fēng)險(xiǎn)的識(shí)別、評(píng)估與內(nèi)部控制

楊海群

（上接 III）

四、僅供參考的政策建議

政策性建議之一，明確內(nèi)部控制的評(píng)價(jià)標(biāo)準(zhǔn)。我們今后要健全內(nèi)控，就要有標(biāo)準(zhǔn)，干什么事都要有標(biāo)準(zhǔn)。我在20世紀(jì)90年代就提出過(guò)四條原則性的標(biāo)準(zhǔn)。第一是要有現(xiàn)代內(nèi)控理論做指導(dǎo)，這是一個(gè)理論體系，沒(méi)有這個(gè)體系做指導(dǎo)，非要自己?jiǎn)胃阋粩?，像許多人寫(xiě)書(shū)，左抄右抄最后弄一本書(shū)，用上自己的名字，也不說(shuō)明出處。我們的內(nèi)控依據(jù)應(yīng)當(dāng)扎實(shí)可靠，要站在前人成果的基礎(chǔ)上。第二是要形成完整的有機(jī)結(jié)合的整體。我前面給大家介紹的內(nèi)控體系和風(fēng)險(xiǎn)管理體系，就是一種有機(jī)結(jié)合的完整體系。內(nèi)控有四大目標(biāo)和五大組成部分，加上組織機(jī)構(gòu)這第三維空間，就是個(gè)有機(jī)整體。我們開(kāi)展內(nèi)控建設(shè)和管理，就應(yīng)該從這個(gè)框架(framework)出發(fā)。第三是方法上的先進(jìn)性和可操作性，就是實(shí)實(shí)在在地開(kāi)展內(nèi)部控制，制定一整套規(guī)范的方法去開(kāi)展內(nèi)控，這些方法也要能跟國(guó)際接軌，我的專(zhuān)著中介紹的那套方法是非常好的控制方法，是在總結(jié)國(guó)內(nèi)外經(jīng)驗(yàn)的基礎(chǔ)上提出來(lái)的。第四是內(nèi)控程序應(yīng)當(dāng)便于計(jì)算機(jī)化，你既然有高科技創(chuàng)造的PC和軟件，就應(yīng)能實(shí)行計(jì)算機(jī)化。

政策性建議之二，績(jī)效考核要有合規(guī)性的目標(biāo)和信息性的目標(biāo)。內(nèi)控有四個(gè)大目標(biāo)，現(xiàn)在大多數(shù)銀行主要提兩個(gè)目標(biāo)，特別是利潤(rùn)目標(biāo)(效益目標(biāo))，而沒(méi)有把合規(guī)性、信息性目標(biāo)提出來(lái)。美國(guó)一些公司的丑聞已經(jīng)導(dǎo)致各國(guó)強(qiáng)調(diào)目標(biāo)管理的全面性了，不是以利潤(rùn)目標(biāo)讓你得到獎(jiǎng)金。針對(duì)安然事件，美國(guó)國(guó)會(huì)通過(guò)的一個(gè)索克斯法，這個(gè)法律里面規(guī)定，高級(jí)管理層通過(guò)虛報(bào)瞞報(bào)財(cái)務(wù)報(bào)表贏(yíng)得的獎(jiǎng)金，一旦發(fā)現(xiàn)，就讓退回原有的獎(jiǎng)金，這等于把合規(guī)性和信息性(財(cái)務(wù)報(bào)告可靠性)的目標(biāo)作為績(jī)效考核的標(biāo)準(zhǔn)。

政策性建議之三，建議銀行把內(nèi)部控制的職能從風(fēng)險(xiǎn)管理部的工作中分離出來(lái)，不知道工行是不是這樣，我們?cè)?jīng)把它放在風(fēng)險(xiǎn)管理部，風(fēng)險(xiǎn)管理包含但不等同于內(nèi)部控制，“風(fēng)險(xiǎn)管理部”同“風(fēng)險(xiǎn)管理”不是同一概念。我一直這樣說(shuō)明，它們的職能不同，風(fēng)險(xiǎn)管理部門(mén)實(shí)行自身的內(nèi)控是應(yīng)該的，但是由這個(gè)部門(mén)去協(xié)調(diào)指導(dǎo)全部的內(nèi)部控制，就既可能干擾風(fēng)險(xiǎn)管理，又可能使內(nèi)部控制落空。另外內(nèi)部控制是全行各個(gè)部門(mén)的工作，當(dāng)然我們最好有一個(gè)比較有權(quán)威的委員會(huì)來(lái)領(lǐng)導(dǎo)，由一個(gè)獨(dú)立的部門(mén)具體管這個(gè)事。這里有一個(gè)正確處理風(fēng)險(xiǎn)管理和內(nèi)部控制的關(guān)系問(wèn)題，要理順風(fēng)險(xiǎn)管理和內(nèi)部控制的關(guān)系。

政策性建議之四，正確處理業(yè)務(wù)發(fā)展和管理控制的關(guān)系?，F(xiàn)在應(yīng)該大力提倡可持續(xù)的發(fā)展戰(zhàn)略。所謂可持續(xù)的發(fā)展，聯(lián)合國(guó)有關(guān)機(jī)構(gòu)認(rèn)為應(yīng)當(dāng)是現(xiàn)時(shí)的發(fā)展不給后續(xù)的發(fā)展造成困難，我們這代人的發(fā)展不能給后代的發(fā)展造成任何妨礙。銀行也一樣。你這任行長(zhǎng)發(fā)放大批貸款，當(dāng)時(shí)有效益，新一任行長(zhǎng)接手時(shí)形成了一大筆爛賬，就不是可持續(xù)發(fā)展。這點(diǎn)恐怕是商業(yè)銀行普遍遇到的問(wèn)題。要建立信息交流制度，定期召開(kāi)管理部門(mén)和業(yè)務(wù)發(fā)展部門(mén)之間的溝通會(huì)，對(duì)業(yè)務(wù)的可持續(xù)發(fā)展進(jìn)行定期的評(píng)審。一方面要強(qiáng)調(diào)業(yè)務(wù)發(fā)展部門(mén)依法合規(guī)經(jīng)營(yíng)，審慎辦理各種項(xiàng)目，否則酌情追究責(zé)任。另一方面要研究制定管理控制部門(mén)和人員的責(zé)任追究制度，管理控制部門(mén)不是沒(méi)有責(zé)任，現(xiàn)在業(yè)務(wù)發(fā)展部門(mén)有數(shù)字指標(biāo)在那兒控制，沒(méi)有完成什么指標(biāo)，就得扣獎(jiǎng)金，管理部門(mén)沒(méi)有什么指標(biāo)，怎么干的獎(jiǎng)金都能發(fā)給你們。我以前也管過(guò)公司業(yè)務(wù)和結(jié)算業(yè)務(wù)，也深有體會(huì)。如果風(fēng)險(xiǎn)管理部審批一個(gè)項(xiàng)目拖拉怎么辦？因種種原因不批準(zhǔn)一個(gè)項(xiàng)目，風(fēng)險(xiǎn)管理部要不要承擔(dān)風(fēng)險(xiǎn)?風(fēng)險(xiǎn)管理部大筆一揮這個(gè)項(xiàng)目不能干，你就不能干，至于說(shuō)我們中行不辦，農(nóng)行接過(guò)來(lái)了，農(nóng)行給辦了，事后沒(méi)風(fēng)險(xiǎn)，還獲得了效益，還本付息很正常，追究不追究風(fēng)險(xiǎn)管理的責(zé)任?我曾經(jīng)跟風(fēng)險(xiǎn)管理的同事討論過(guò)這個(gè)問(wèn)題，他們說(shuō)那怎么追究，我在特定時(shí)期、特定情況下、特定政策下決定不批準(zhǔn)這個(gè)項(xiàng)目，農(nóng)行在他的環(huán)境里面批準(zhǔn)了這個(gè)項(xiàng)目，你怎么能說(shuō)我不對(duì)?這個(gè)問(wèn)題有待于研究。業(yè)務(wù)發(fā)展與管理控制是一對(duì)矛盾，它們既對(duì)立又統(tǒng)一。只有正確處理，在矛盾中不斷提高水平。最好兩方面的人員，包括風(fēng)險(xiǎn)管理、法律合規(guī)和稽核監(jiān)督人員，都應(yīng)該制定相關(guān)的責(zé)任制，要界定清楚什么情況屬于管理者失職或?yàn)^職。這樣才能處理好所謂“踩油門(mén)”和“踩剎車(chē)”的關(guān)系。

政策性建議之五，為了加強(qiáng)對(duì)操作風(fēng)險(xiǎn)的防范，要研究風(fēng)險(xiǎn)怎么計(jì)量，國(guó)外都有一套理論模型，這套理論運(yùn)用到我們中國(guó)銀行界怎么運(yùn)用？需要研究和建立我們的操作風(fēng)險(xiǎn)計(jì)量模型。另外，操作風(fēng)險(xiǎn)的激烈表現(xiàn)就是案件的發(fā)生。各級(jí)機(jī)構(gòu)負(fù)責(zé)人員都要切實(shí)重視案件防范工作。加強(qiáng)基層管理和內(nèi)控建設(shè)，落實(shí)規(guī)章制度，解決某些人想干干不成，干了早發(fā)現(xiàn)、早預(yù)警的問(wèn)題。要根治私設(shè)小金庫(kù)，銀行更不能發(fā)生這個(gè)問(wèn)題，小金庫(kù)最終帶來(lái)的后果是不好的?，F(xiàn)在我們?cè)诓楹Ｍ庑?，不讓海外行設(shè)小金庫(kù)。過(guò)去我們給海外行的工資比當(dāng)?shù)赝赓Y銀行發(fā)的低，怎么解決呢？他們經(jīng)總行批準(zhǔn)設(shè)一種小金庫(kù)，有時(shí)接待任務(wù)很重，也要有一點(diǎn)資金來(lái)源。但是我們發(fā)現(xiàn)設(shè)小金庫(kù)帶來(lái)的隱患很大，因此命令撤除小金庫(kù)。另外要禁止職工炒賣(mài)外匯或者炒賣(mài)股票，我們行發(fā)生的大量案例都是屬于規(guī)定了不許，但是還炒，炒輸了怎么辦？銀行人員從銀行掏錢(qián)比較容易，轉(zhuǎn)轉(zhuǎn)賬，搬搬科目，動(dòng)動(dòng)電腦上的鍵盤(pán)，就能解決這個(gè)問(wèn)題。我們要加大有關(guān)責(zé)任人的追究。

政策性建議之六，希望能夠?qū)嵤┮惶妆容^好的內(nèi)部控制操作方法，講了半天內(nèi)控，最終要落到實(shí)處，要開(kāi)展控制活動(dòng)，因此，應(yīng)當(dāng)運(yùn)用和不斷完善規(guī)范的操作內(nèi)控的方法。這與我們搞法律的也有關(guān)系。因?yàn)槲覀兎ㄒ?guī)部?jī)?nèi)現(xiàn)在設(shè)了合規(guī)處，這種把合規(guī)職能放在法律部門(mén)的方式還有待觀(guān)察和研究。我本人傾向把內(nèi)控與合規(guī)以及反洗錢(qián)等方面的職能歸屬到一個(gè)獨(dú)立的“內(nèi)控合規(guī)部”。我跟合規(guī)處同事們提出，如何通過(guò)一套完整的、比較先進(jìn)的操作方法，能夠讓人們合規(guī)。這里要有一套評(píng)價(jià)體系，要根據(jù)我前面講的內(nèi)容來(lái)進(jìn)行評(píng)價(jià)。前面講的我那本書(shū)里有這個(gè)圖，圖示的操作還是挺不容易的，要分幾個(gè)階段，這個(gè)流程包含學(xué)習(xí)理論原理階段、前期準(zhǔn)備階段、檢查階段、評(píng)價(jià)階段、報(bào)告階段，這是一套體系。如果真正實(shí)行了這套方法，我們國(guó)有商業(yè)銀行的內(nèi)部控制問(wèn)題，依法合規(guī)經(jīng)營(yíng)的問(wèn)題應(yīng)該不會(huì)很大。

以上所言是本人對(duì)銀行強(qiáng)化風(fēng)險(xiǎn)管理和內(nèi)部控制的一些粗淺的探討，以求引起各方面的高度重視。其中的一些問(wèn)題是帶普遍性的，各家銀行都在研究解決。雖然有些不是法律問(wèn)題，但是在銀行的法律工作中都應(yīng)當(dāng)了解。在改革開(kāi)放的大潮席卷神州的形勢(shì)之下，我們冷靜地研究銀行的控制職能，特別是探索銀行如何通過(guò)風(fēng)險(xiǎn)管理和內(nèi)部控制發(fā)揮支持和穩(wěn)定中國(guó)社會(huì)的可持續(xù)發(fā)展，應(yīng)當(dāng)不無(wú)意義。言多必失，歡迎批評(píng)指正。

(完）

注釋?zhuān)罕疚脑d于法律出版社2006年出版2007年再版的書(shū)《金融審判與銀行債權(quán)保護(hù)》。文中的圖示和注釋等因網(wǎng)絡(luò)格式轉(zhuǎn)換而未加。

銀行風(fēng)險(xiǎn)的識(shí)別、評(píng)估與內(nèi)部控制

Identification, Assessment and Internal Control of Bank Risks

楊海群

（上接 III）

四、僅供參考的政策建議

政策性建議之一，明確內(nèi)部控制的評(píng)價(jià)標(biāo)準(zhǔn)。我們今后要健全內(nèi)控，就要有標(biāo)準(zhǔn)，干什么事都要有標(biāo)準(zhǔn)。我在20世紀(jì)90年代就提出過(guò)四條原則性的標(biāo)準(zhǔn)。第一是要有現(xiàn)代內(nèi)控理論做指導(dǎo)，這是一個(gè)理論體系，沒(méi)有這個(gè)體系做指導(dǎo)，非要自己?jiǎn)胃阋粩?，像許多人寫(xiě)書(shū)，左抄右抄最后弄一本書(shū)，用上自己的名字，也不說(shuō)明出處。我們的內(nèi)控依據(jù)應(yīng)當(dāng)扎實(shí)可靠，要站在前人成果的基礎(chǔ)上。第二是要形成完整的有機(jī)結(jié)合的整體。我前面給大家介紹的內(nèi)控體系和風(fēng)險(xiǎn)管理體系，就是一種有機(jī)結(jié)合的完整體系。內(nèi)控有四大目標(biāo)和五大組成部分，加上組織機(jī)構(gòu)這第三維空間，就是個(gè)有機(jī)整體。我們開(kāi)展內(nèi)控建設(shè)和管理，就應(yīng)該從這個(gè)框架(framework)出發(fā)。第三是方法上的先進(jìn)性和可操作性，就是實(shí)實(shí)在在地開(kāi)展內(nèi)部控制，制定一整套規(guī)范的方法去開(kāi)展內(nèi)控，這些方法也要能跟國(guó)際接軌，我的專(zhuān)著中介紹的那套方法是非常好的控制方法，是在總結(jié)國(guó)內(nèi)外經(jīng)驗(yàn)的基礎(chǔ)上提出來(lái)的。第四是內(nèi)控程序應(yīng)當(dāng)便于計(jì)算機(jī)化，你既然有高科技創(chuàng)造的PC和軟件，就應(yīng)能實(shí)行計(jì)算機(jī)化。

政策性建議之二，績(jī)效考核要有合規(guī)性的目標(biāo)和信息性的目標(biāo)。內(nèi)控有四個(gè)大目標(biāo)，現(xiàn)在大多數(shù)銀行主要提兩個(gè)目標(biāo)，特別是利潤(rùn)目標(biāo)(效益目標(biāo))，而沒(méi)有把合規(guī)性、信息性目標(biāo)提出來(lái)。美國(guó)一些公司的丑聞已經(jīng)導(dǎo)致各國(guó)強(qiáng)調(diào)目標(biāo)管理的全面性了，不是以利潤(rùn)目標(biāo)讓你得到獎(jiǎng)金。針對(duì)安然事件，美國(guó)國(guó)會(huì)通過(guò)的一個(gè)索克斯法，這個(gè)法律里面規(guī)定，高級(jí)管理層通過(guò)虛報(bào)瞞報(bào)財(cái)務(wù)報(bào)表贏(yíng)得的獎(jiǎng)金，一旦發(fā)現(xiàn)，就讓退回原有的獎(jiǎng)金，這等于把合規(guī)性和信息性(財(cái)務(wù)報(bào)告可靠性)的目標(biāo)作為績(jī)效考核的標(biāo)準(zhǔn)。

政策性建議之三，建議銀行把內(nèi)部控制的職能從風(fēng)險(xiǎn)管理部的工作中分離出來(lái)，不知道工行是不是這樣，我們?cè)?jīng)把它放在風(fēng)險(xiǎn)管理部，風(fēng)險(xiǎn)管理包含但不等同于內(nèi)部控制，“風(fēng)險(xiǎn)管理部”同“風(fēng)險(xiǎn)管理”不是同一概念。我一直這樣說(shuō)明，它們的職能不同，風(fēng)險(xiǎn)管理部門(mén)實(shí)行自身的內(nèi)控是應(yīng)該的，但是由這個(gè)部門(mén)去協(xié)調(diào)指導(dǎo)全部的內(nèi)部控制，就既可能干擾風(fēng)險(xiǎn)管理，又可能使內(nèi)部控制落空。另外內(nèi)部控制是全行各個(gè)部門(mén)的工作，當(dāng)然我們最好有一個(gè)比較有權(quán)威的委員會(huì)來(lái)領(lǐng)導(dǎo)，由一個(gè)獨(dú)立的部門(mén)具體管這個(gè)事。這里有一個(gè)正確處理風(fēng)險(xiǎn)管理和內(nèi)部控制的關(guān)系問(wèn)題，要理順風(fēng)險(xiǎn)管理和內(nèi)部控制的關(guān)系。

政策性建議之四，正確處理業(yè)務(wù)發(fā)展和管理控制的關(guān)系。現(xiàn)在應(yīng)該大力提倡可持續(xù)的發(fā)展戰(zhàn)略。所謂可持續(xù)的發(fā)展，聯(lián)合國(guó)有關(guān)機(jī)構(gòu)認(rèn)為應(yīng)當(dāng)是現(xiàn)時(shí)的發(fā)展不給后續(xù)的發(fā)展造成困難，我們這代人的發(fā)展不能給后代的發(fā)展造成任何妨礙。銀行也一樣。你這任行長(zhǎng)發(fā)放大批貸款，當(dāng)時(shí)有效益，新一任行長(zhǎng)接手時(shí)形成了一大筆爛賬，就不是可持續(xù)發(fā)展。這點(diǎn)恐怕是商業(yè)銀行普遍遇到的問(wèn)題。要建立信息交流制度，定期召開(kāi)管理部門(mén)和業(yè)務(wù)發(fā)展部門(mén)之間的溝通會(huì)，對(duì)業(yè)務(wù)的可持續(xù)發(fā)展進(jìn)行定期的評(píng)審。一方面要強(qiáng)調(diào)業(yè)務(wù)發(fā)展部門(mén)依法合規(guī)經(jīng)營(yíng)，審慎辦理各種項(xiàng)目，否則酌情追究責(zé)任。另一方面要研究制定管理控制部門(mén)和人員的責(zé)任追究制度，管理控制部門(mén)不是沒(méi)有責(zé)任，現(xiàn)在業(yè)務(wù)發(fā)展部門(mén)有數(shù)字指標(biāo)在那兒控制，沒(méi)有完成什么指標(biāo)，就得扣獎(jiǎng)金，管理部門(mén)沒(méi)有什么指標(biāo)，怎么干的獎(jiǎng)金都能發(fā)給你們。我以前也管過(guò)公司業(yè)務(wù)和結(jié)算業(yè)務(wù)，也深有體會(huì)。如果風(fēng)險(xiǎn)管理部審批一個(gè)項(xiàng)目拖拉怎么辦？因種種原因不批準(zhǔn)一個(gè)項(xiàng)目，風(fēng)險(xiǎn)管理部要不要承擔(dān)風(fēng)險(xiǎn)?風(fēng)險(xiǎn)管理部大筆一揮這個(gè)項(xiàng)目不能干，你就不能干，至于說(shuō)我們中行不辦，農(nóng)行接過(guò)來(lái)了，農(nóng)行給辦了，事后沒(méi)風(fēng)險(xiǎn)，還獲得了效益，還本付息很正常，追究不追究風(fēng)險(xiǎn)管理的責(zé)任?我曾經(jīng)跟風(fēng)險(xiǎn)管理的同事討論過(guò)這個(gè)問(wèn)題，他們說(shuō)那怎么追究，我在特定時(shí)期、特定情況下、特定政策下決定不批準(zhǔn)這個(gè)項(xiàng)目，農(nóng)行在他的環(huán)境里面批準(zhǔn)了這個(gè)項(xiàng)目，你怎么能說(shuō)我不對(duì)?這個(gè)問(wèn)題有待于研究。業(yè)務(wù)發(fā)展與管理控制是一對(duì)矛盾，它們既對(duì)立又統(tǒng)一。只有正確處理，在矛盾中不斷提高水平。最好兩方面的人員，包括風(fēng)險(xiǎn)管理、法律合規(guī)和稽核監(jiān)督人員，都應(yīng)該制定相關(guān)的責(zé)任制，要界定清楚什么情況屬于管理者失職或?yàn)^職。這樣才能處理好所謂“踩油門(mén)”和“踩剎車(chē)”的關(guān)系。

政策性建議之五，為了加強(qiáng)對(duì)操作風(fēng)險(xiǎn)的防范，要研究風(fēng)險(xiǎn)怎么計(jì)量，國(guó)外都有一套理論模型，這套理論運(yùn)用到我們中國(guó)銀行界怎么運(yùn)用？需要研究和建立我們的操作風(fēng)險(xiǎn)計(jì)量模型。另外，操作風(fēng)險(xiǎn)的激烈表現(xiàn)就是案件的發(fā)生。各級(jí)機(jī)構(gòu)負(fù)責(zé)人員都要切實(shí)重視案件防范工作。加強(qiáng)基層管理和內(nèi)控建設(shè)，落實(shí)規(guī)章制度，解決某些人想干干不成，干了早發(fā)現(xiàn)、早預(yù)警的問(wèn)題。要根治私設(shè)小金庫(kù)，銀行更不能發(fā)生這個(gè)問(wèn)題，小金庫(kù)最終帶來(lái)的后果是不好的?，F(xiàn)在我們?cè)诓楹Ｍ庑?，不讓海外行設(shè)小金庫(kù)。過(guò)去我們給海外行的工資比當(dāng)?shù)赝赓Y銀行發(fā)的低，怎么解決呢？他們經(jīng)總行批準(zhǔn)設(shè)一種小金庫(kù)，有時(shí)接待任務(wù)很重，也要有一點(diǎn)資金來(lái)源。但是我們發(fā)現(xiàn)設(shè)小金庫(kù)帶來(lái)的隱患很大，因此命令撤除小金庫(kù)。另外要禁止職工炒賣(mài)外匯或者炒賣(mài)股票，我們行發(fā)生的大量案例都是屬于規(guī)定了不許，但是還炒，炒輸了怎么辦？銀行人員從銀行掏錢(qián)比較容易，轉(zhuǎn)轉(zhuǎn)賬，搬搬科目，動(dòng)動(dòng)電腦上的鍵盤(pán)，就能解決這個(gè)問(wèn)題。我們要加大有關(guān)責(zé)任人的追究。

政策性建議之六，希望能夠?qū)嵤┮惶妆容^好的內(nèi)部控制操作方法，講了半天內(nèi)控，最終要落到實(shí)處，要開(kāi)展控制活動(dòng)，因此，應(yīng)當(dāng)運(yùn)用和不斷完善規(guī)范的操作內(nèi)控的方法。這與我們搞法律的也有關(guān)系。因?yàn)槲覀兎ㄒ?guī)部?jī)?nèi)現(xiàn)在設(shè)了合規(guī)處，這種把合規(guī)職能放在法律部門(mén)的方式還有待觀(guān)察和研究。我本人傾向把內(nèi)控與合規(guī)以及反洗錢(qián)等方面的職能歸屬到一個(gè)獨(dú)立的“內(nèi)控合規(guī)部”。我跟合規(guī)處同事們提出，如何通過(guò)一套完整的、比較先進(jìn)的操作方法，能夠讓人們合規(guī)。這里要有一套評(píng)價(jià)體系，要根據(jù)我前面講的內(nèi)容來(lái)進(jìn)行評(píng)價(jià)。前面講的我那本書(shū)里有這個(gè)圖，圖示的操作還是挺不容易的，要分幾個(gè)階段，這個(gè)流程包含學(xué)習(xí)理論原理階段、前期準(zhǔn)備階段、檢查階段、評(píng)價(jià)階段、報(bào)告階段，這是一套體系。如果真正實(shí)行了這套方法，我們國(guó)有商業(yè)銀行的內(nèi)部控制問(wèn)題，依法合規(guī)經(jīng)營(yíng)的問(wèn)題應(yīng)該不會(huì)很大。

以上所言是本人對(duì)銀行強(qiáng)化風(fēng)險(xiǎn)管理和內(nèi)部控制的一些粗淺的探討，以求引起各方面的高度重視。其中的一些問(wèn)題是帶普遍性的，各家銀行都在研究解決。雖然有些不是法律問(wèn)題，但是在銀行的法律工作中都應(yīng)當(dāng)了解。在改革開(kāi)放的大潮席卷神州的形勢(shì)之下，我們冷靜地研究銀行的控制職能，特別是探索銀行如何通過(guò)風(fēng)險(xiǎn)管理和內(nèi)部控制發(fā)揮支持和穩(wěn)定中國(guó)社會(huì)的可持續(xù)發(fā)展，應(yīng)當(dāng)不無(wú)意義。言多必失，歡迎批評(píng)指正。

(完）

注釋?zhuān)罕疚脑d于法律出版社2006年出版2007年再版的書(shū)《金融審判與銀行債權(quán)保護(hù)》。文中的注釋等網(wǎng)絡(luò)因格式轉(zhuǎn)換而未加。

第四篇：信息安全風(fēng)險(xiǎn)評(píng)估管理辦法

信息安全風(fēng)險(xiǎn)評(píng)估管理辦法

第一章 總 則

第一條 為規(guī)范信息安全風(fēng)險(xiǎn)評(píng)估（以下簡(jiǎn)稱(chēng)“風(fēng)險(xiǎn)評(píng)估”）及其管理活動(dòng)，保障信息系統(tǒng)安全，依據(jù)國(guó)家有關(guān)規(guī)定，結(jié)合本省實(shí)際，制定本辦法。

第二條 本省行政區(qū)域內(nèi)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估及其管理活動(dòng)，適用本辦法。

第三條 本辦法所稱(chēng)信息系統(tǒng)，是指由計(jì)算機(jī)、信息網(wǎng)絡(luò)及其配套的設(shè)施、設(shè)備構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行存儲(chǔ)、傳輸、處理的運(yùn)行體系。

本辦法所稱(chēng)重要信息系統(tǒng)，是指履行經(jīng)濟(jì)調(diào)節(jié)、市場(chǎng)監(jiān)管、社會(huì)管理和公共服務(wù)職能的信息系統(tǒng)。

本辦法所稱(chēng)風(fēng)險(xiǎn)評(píng)估，是指依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息網(wǎng)絡(luò)和信息系統(tǒng)及由其存儲(chǔ)、傳輸、處理的信息的保密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的活動(dòng)。第四條 縣以上信息化主管部門(mén)負(fù)責(zé)本行政區(qū)域內(nèi)風(fēng)險(xiǎn)評(píng)估的組織、指導(dǎo)和監(jiān)督、檢查。

跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行的重要信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估，可以由其行業(yè)管理部門(mén)統(tǒng)一組織實(shí)施。

涉密信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估，由國(guó)家保密部門(mén)按照有關(guān)法律、法規(guī)規(guī)定實(shí)施。第五條 風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和檢查評(píng)估兩種形式。自評(píng)估由信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)或者使用單位自主開(kāi)展。檢查評(píng)估由縣以上信息化主管部門(mén)在本行政區(qū)域內(nèi)依法開(kāi)展，也可以由信息系統(tǒng)建設(shè)、運(yùn)營(yíng)或者使用單位的上級(jí)主管部門(mén)依據(jù)有關(guān)標(biāo)準(zhǔn)和規(guī)范組織進(jìn)行，雙方實(shí)行互備案制度。第二章 組織與實(shí)施

第六條 信息化主管部門(mén)應(yīng)當(dāng)定期發(fā)布本行政區(qū)域內(nèi)重要信息系統(tǒng)目錄，制定檢查評(píng)估實(shí)施計(jì)劃，并對(duì)重要信息系統(tǒng)管理技術(shù)人員開(kāi)展相關(guān)培訓(xùn)。

第七條 江蘇省信息安全測(cè)評(píng)中心為本省從事信息安全測(cè)評(píng)的專(zhuān)門(mén)機(jī)構(gòu)，受省信息化主管部門(mén)委托，具體負(fù)責(zé)對(duì)從事風(fēng)險(xiǎn)評(píng)估服務(wù)的社會(huì)機(jī)構(gòu)進(jìn)行條件審核、業(yè)務(wù)管理和人員培訓(xùn)，組織開(kāi)展全省重要信息系統(tǒng)的外部安全測(cè)試。第八條 信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)或者使用單位可以依托本單位技術(shù)力量，或者委托符合條件的風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)進(jìn)行自評(píng)估。

第九條 重要信息系統(tǒng)新建、擴(kuò)建或者改建的，在設(shè)計(jì)、驗(yàn)收、運(yùn)行維護(hù)階段，均應(yīng)當(dāng)進(jìn)行自評(píng)估。重要信息系統(tǒng)廢棄、發(fā)生重大變更或者安全狀況發(fā)生重大變化的，應(yīng)當(dāng)及時(shí)進(jìn)行自評(píng)估。

第十條 本省行政區(qū)域內(nèi)信息系統(tǒng)應(yīng)當(dāng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估，其中重要信息系統(tǒng)應(yīng)當(dāng)至少每三年進(jìn)行一次自評(píng)估或檢查評(píng)估。在規(guī)定期限內(nèi)已進(jìn)行檢查評(píng)估的重要信息系統(tǒng)，可以不再進(jìn)行自評(píng)估。

第十一條 縣以上信息化主管部門(mén)委托符合條件的風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)，對(duì)本行政區(qū)域內(nèi)重要信息系統(tǒng)實(shí)施檢查評(píng)估。第十二條信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)或使用單位委托風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)開(kāi)展自評(píng)估,應(yīng)當(dāng)簽訂風(fēng)險(xiǎn)評(píng)估協(xié)議；信息化主管部門(mén)委托開(kāi)展檢查評(píng)估，受委托的風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)應(yīng)當(dāng)與被評(píng)估單位簽訂風(fēng)險(xiǎn)評(píng)估協(xié)議。

對(duì)于評(píng)估活動(dòng)可能影響信息系統(tǒng)正常運(yùn)行的，風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)應(yīng)當(dāng)事先告知被評(píng)估單位，并協(xié)助其采取相應(yīng)的預(yù)防措施。

第十三條 風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)出具評(píng)估報(bào)告。評(píng)估報(bào)告應(yīng)當(dāng)包括評(píng)估范圍、內(nèi)容、依據(jù)、結(jié)論和整改建議等。

風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)出具的自評(píng)估報(bào)告，應(yīng)當(dāng)經(jīng)被評(píng)估單位認(rèn)可，并經(jīng)雙方部門(mén)負(fù)責(zé)人簽署后生效。

風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)出具的檢查評(píng)估報(bào)告，應(yīng)當(dāng)報(bào)委托其開(kāi)展評(píng)估的主管部門(mén)審定；主管部門(mén)應(yīng)當(dāng)自收到評(píng)估報(bào)告之日起10個(gè)工作日內(nèi)，將審定結(jié)果和整改意見(jiàn)告知被評(píng)估單位。第十四條 自評(píng)估單位應(yīng)當(dāng)根據(jù)自評(píng)估報(bào)告進(jìn)行整改，并自報(bào)告生效之日起30日內(nèi)，將自評(píng)估情況和整改方案報(bào)本級(jí)信息化主管部門(mén)備案。

接受檢查評(píng)估的單位應(yīng)當(dāng)自收到檢查評(píng)估報(bào)告之日起30日內(nèi)，根據(jù)整改建議提出整改方案、明確整改時(shí)限，報(bào)本級(jí)信息化主管部門(mén)備案。

受委托進(jìn)行風(fēng)險(xiǎn)評(píng)估的服務(wù)機(jī)構(gòu)應(yīng)當(dāng)指導(dǎo)被評(píng)估單位開(kāi)展整改，并對(duì)整改措施的有效性進(jìn)行驗(yàn)證。第十五條 信息化主管部門(mén)應(yīng)當(dāng)定期公布已開(kāi)展自評(píng)估、檢查評(píng)估單位備案名單，督促未備案單位開(kāi)展自評(píng)估。

第十六條 未發(fā)生重大變更的重要信息系統(tǒng)再次進(jìn)行風(fēng)險(xiǎn)評(píng)估的，可以參考前次評(píng)估結(jié)果，重點(diǎn)評(píng)估以下內(nèi)容：

（一）前次風(fēng)險(xiǎn)評(píng)估發(fā)現(xiàn)的主要問(wèn)題及整改情況；

（二）核心網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全防護(hù)設(shè)施、應(yīng)用軟件等系統(tǒng)關(guān)鍵部位發(fā)生局部變更后，可能出現(xiàn)的安全隱患；

（三）新的信息技術(shù)可能對(duì)信息系統(tǒng)安全造成的影響；

（四）其他需要重點(diǎn)評(píng)估的內(nèi)容。第三章 風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)

第十七條 在本省行政區(qū)域內(nèi)從事自評(píng)估服務(wù)的社會(huì)機(jī)構(gòu)，應(yīng)當(dāng)具備下列條件，并報(bào)經(jīng)其所在地省轄市信息化主管部門(mén)備案：

（一）依法在中國(guó)境內(nèi)注冊(cè)成立并在本省設(shè)有機(jī)構(gòu)，由中國(guó)公民、法人投資或者由其它組織投資；

（二）從事信息安全檢測(cè)、評(píng)估相關(guān)業(yè)務(wù)兩年以上，無(wú)違法記錄；

（三）專(zhuān)業(yè)評(píng)估人員不少于10人且均為中國(guó)公民，接受并通過(guò)相關(guān)培訓(xùn)考核，無(wú)違法記錄；其中主要評(píng)估人員2人以上，具有由國(guó)家權(quán)威機(jī)構(gòu)認(rèn)定的或由其它機(jī)構(gòu)認(rèn)定的相當(dāng)水平的信息安全服務(wù)資格，具備獨(dú)立實(shí)施風(fēng)險(xiǎn)評(píng)估的技術(shù)能力;

（四）評(píng)估使用的技術(shù)裝備、設(shè)施符合國(guó)家信息安全產(chǎn)品要求；

（五）具有完備的保密管理、項(xiàng)目管理、質(zhì)量管理、人員管理和培訓(xùn)教育等內(nèi)部管理制度；

（六）法律法規(guī)規(guī)定的其它條件。

第十八條 在本省從事檢查評(píng)估的社會(huì)機(jī)構(gòu)，除具備第十七條規(guī)定條件外，還應(yīng)當(dāng)同時(shí)具備下列條件，并經(jīng)其所在地省轄市信息化主管部門(mén)審核后，報(bào)省信息化主管部門(mén)備案：

（一）具有國(guó)家權(quán)威機(jī)構(gòu)認(rèn)定的信息安全服務(wù)資質(zhì)；

（二）評(píng)估人員不少于20人，其中主要評(píng)估人員4人以上，具有國(guó)家權(quán)威機(jī)構(gòu)認(rèn)定的或由其它機(jī)構(gòu)認(rèn)定的相當(dāng)水平的信息安全服務(wù)資格。

第十九條 省轄市以上信息化主管部門(mén)應(yīng)當(dāng)自收到備案申請(qǐng)報(bào)告之日起10個(gè)工作日內(nèi)，告知備案結(jié)果，并定期向社會(huì)公布本行政區(qū)域內(nèi)風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)備案名單，對(duì)其服務(wù)進(jìn)行管理、監(jiān)督。

第二十條 從事風(fēng)險(xiǎn)評(píng)估服務(wù)的機(jī)構(gòu)，應(yīng)當(dāng)履行下列義務(wù)：

（一）遵守國(guó)家有關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，提供科學(xué)、安全、客觀(guān)、公正的評(píng)估服務(wù)，保證評(píng)估的質(zhì)量和效果；

（二）保守在評(píng)估活動(dòng)中知悉的國(guó)家秘密、商業(yè)秘密和個(gè)人隱私，防范安全風(fēng)險(xiǎn)，不得私自占有、使用或向第三方泄露相關(guān)技術(shù)數(shù)據(jù)、業(yè)務(wù)資料等信息和資源；

（三）對(duì)服務(wù)人員進(jìn)行安全保密教育，簽訂服務(wù)人員安全保密責(zé)任書(shū)，并負(fù)責(zé)檢查落實(shí)。第四章 監(jiān)督管理

第二十一條 違反本辦法，有以下行為之一的，由信息化主管部門(mén)責(zé)令其限期改正，逾期不改正的，予以通報(bào)；對(duì)直接責(zé)任人員，由所在單位或上級(jí)主管部門(mén)視情給予行政處分：

（一）違反第九條、第十條規(guī)定，信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)或者使用單位未按照規(guī)定開(kāi)展自評(píng)估；重要信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)或者使用單位不接受、不配合開(kāi)展檢查評(píng)估的；

（二）違反第十四條規(guī)定，自評(píng)估單位未按照規(guī)定將自評(píng)估情況和整改方案、接受檢查評(píng)估單位未按照規(guī)定將整改方案報(bào)本級(jí)信息化主管部門(mén)備案的；

（三）違反第八條規(guī)定，信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)或者使用單位委托不符合條件的機(jī)構(gòu)進(jìn)行風(fēng)險(xiǎn)評(píng)估，并造成不良后果的。第二十二條 違反本辦法第十二條規(guī)定，風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)未事先告知被評(píng)估單位、協(xié)助其采取預(yù)防措施的，由信息化主管部門(mén)責(zé)令限期改正，并給予警告；造成不良后果的，可視情暫停其備案1年，直至取消其備案。

第二十三條 違反本辦法第二十條規(guī)定，風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)未經(jīng)許可向第三方提供被評(píng)估單位相關(guān)信息的，或者從事影響評(píng)估客觀(guān)、公正的活動(dòng)的，由信息化主管部門(mén)視情暫停其備案一年，直至取消其備案。造成被評(píng)估單位經(jīng)濟(jì)損失的，應(yīng)予合理賠償；從中不當(dāng)獲利的，應(yīng)予退還；構(gòu)成犯罪的，應(yīng)依法追究其刑事責(zé)任。

第二十四條 信息化主管部門(mén)或其他有關(guān)部門(mén)工作人員有下列行為之一的，由其監(jiān)察部門(mén)或上級(jí)主管部門(mén)視情對(duì)相關(guān)責(zé)任人員給予行政處分；構(gòu)成犯罪的，依法追究刑事責(zé)任：

（一）利用職權(quán)索取、收受賄賂，或者玩忽職守、濫用職權(quán)的；

（二）泄露信息系統(tǒng)的運(yùn)營(yíng)、使用單位或者個(gè)人的有關(guān)信息、資料及數(shù)據(jù)文件的。第五章 附 則

第二十五條 本辦法自發(fā)布之日起施行，由省信息化主管部門(mén)負(fù)責(zé)解釋。

第五篇：信息科技風(fēng)險(xiǎn)管理辦法（最終版）

XXXX銀行信息科技風(fēng)險(xiǎn)管理辦法 總則

為XXXX銀行有效防范銀行運(yùn)用信息系統(tǒng)進(jìn)行業(yè)務(wù)處理、經(jīng)營(yíng)管理和內(nèi)部控制過(guò)程中產(chǎn)生的風(fēng)險(xiǎn)，促進(jìn)我行各項(xiàng)業(yè)務(wù)安全、持續(xù)、穩(wěn)健運(yùn)行，根據(jù)《中華人民共和國(guó)銀行業(yè)監(jiān)督管理法》、《中華人民共和國(guó)商業(yè)銀行法》、《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》、《營(yíng)口沿海銀操作風(fēng)險(xiǎn)管理指引》，以及國(guó)家信息安全相關(guān)要求和有關(guān)法律法規(guī)，制定本管理辦法。

本管理辦法所稱(chēng)信息科技是指計(jì)算機(jī)、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)，在我行業(yè)務(wù)交易處理、經(jīng)營(yíng)管理和內(nèi)部控制等方面的應(yīng)用，并包括進(jìn)行信息科技治理，建立完整的管理組織架構(gòu)，制訂完善的管理制度和流程。本管理辦法所稱(chēng)信息科技風(fēng)險(xiǎn)，是指信息科技在我行運(yùn)用過(guò)程中，由于自然因素、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。

信息科技風(fēng)險(xiǎn)管理的目標(biāo)是通過(guò)建立有效的機(jī)制，實(shí)現(xiàn)對(duì)我行信息科技風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測(cè)和控制，促進(jìn)我行安全、持續(xù)、穩(wěn)健運(yùn)行，推動(dòng)業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強(qiáng)核心競(jìng)爭(zhēng)力和可持續(xù)發(fā)展能力。機(jī)構(gòu)職責(zé)

根據(jù)我行信息科技治理的要求，法定代表人是本機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理的第一責(zé)任人，負(fù)責(zé)組織本管理辦法的貫徹落實(shí), 董事會(huì)應(yīng)履行以下信息科技管理職責(zé)： 遵守并貫徹執(zhí)行國(guó)家有關(guān)信息科技管理的法律、法規(guī)和技術(shù)標(biāo)準(zhǔn)，落實(shí)中國(guó)銀行業(yè)監(jiān)督管理委員會(huì)（以下簡(jiǎn)稱(chēng)銀監(jiān)會(huì)）相關(guān)監(jiān)管要求。審查批準(zhǔn)信息科技戰(zhàn)略，確保其與銀行的總體業(yè)務(wù)戰(zhàn)略和重大策略相一致。評(píng)估信息科技及其風(fēng)險(xiǎn)管理工作的總體效果和效率。

掌握主要的信息科技風(fēng)險(xiǎn)，確定可接受的風(fēng)險(xiǎn)級(jí)別，確保相關(guān)風(fēng)險(xiǎn)能夠被識(shí)別、計(jì)量、監(jiān)測(cè)和控制。

規(guī)范職業(yè)道德行為和廉潔標(biāo)準(zhǔn)，增強(qiáng)內(nèi)部文化建設(shè)，提高全體人員對(duì)信息科技風(fēng)險(xiǎn)管理重要性的認(rèn)識(shí)。

設(shè)立一個(gè)由來(lái)自高級(jí)管理層、信息科技部門(mén)和主要業(yè)務(wù)部門(mén)的代表組成的專(zhuān)門(mén)信息科技管理委員會(huì)，負(fù)責(zé)監(jiān)督各項(xiàng)職責(zé)的落實(shí)，定期向董事會(huì)和高級(jí)管理層匯報(bào)信息科技戰(zhàn)略規(guī)劃的執(zhí)行、信息科技預(yù)算和實(shí)際支出、信息科技的整體狀況。

在建立良好的公司治理的基礎(chǔ)上進(jìn)行信息科技治理，形成分工合理、職責(zé)明確、相互制衡、報(bào)告關(guān)系清晰的信息科技治理組織結(jié)構(gòu)。加強(qiáng)信息科技專(zhuān)業(yè)隊(duì)伍的建設(shè)，建立人才激勵(lì)機(jī)制。確保內(nèi)部審計(jì)部門(mén)進(jìn)行獨(dú)立有效的信息科技風(fēng)險(xiǎn)管理審計(jì)，對(duì)審計(jì)報(bào)告進(jìn)行確認(rèn)并落實(shí)整改。每年審閱并向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)送信息科技風(fēng)險(xiǎn)管理的報(bào)告。確保信息科技風(fēng)險(xiǎn)管理工作所需資金。

確保銀行所有員工充分理解和遵守經(jīng)其批準(zhǔn)的信息科技風(fēng)險(xiǎn)管理制度和流程，并安排相關(guān)培訓(xùn)。

確保本法人機(jī)構(gòu)涉及客戶(hù)信息、賬務(wù)信息以及產(chǎn)品信息等的核心系統(tǒng)在中國(guó)境內(nèi)獨(dú)立運(yùn)行，并保持最高的管理權(quán)限，符合銀監(jiān)會(huì)監(jiān)管和實(shí)施現(xiàn)場(chǎng)檢查的要求，防范跨境風(fēng)險(xiǎn)。及時(shí)向銀監(jiān)會(huì)及其派出機(jī)構(gòu)報(bào)告本機(jī)構(gòu)發(fā)生的重大信息科技事故或突發(fā)事件，按相關(guān)預(yù)案快速響應(yīng)。

配合銀監(jiān)會(huì)及其派出機(jī)構(gòu)做好信息科技風(fēng)險(xiǎn)監(jiān)督檢查工作，并按照監(jiān)管意見(jiàn)進(jìn)行整改。履行信息科技風(fēng)險(xiǎn)管理其他相關(guān)工作。

我行應(yīng)設(shè)立分管信息科技的副行級(jí)領(lǐng)導(dǎo)，直接向行長(zhǎng)匯報(bào)，并參與決策。副行級(jí)領(lǐng)導(dǎo)的職責(zé)包括：

直接參與本銀行與信息科技運(yùn)用有關(guān)的業(yè)務(wù)發(fā)展決策。確保信息科技戰(zhàn)略，尤其是信息系統(tǒng)開(kāi)發(fā)戰(zhàn)略，符合本銀行的總體業(yè)務(wù)戰(zhàn)略和信息科技風(fēng)險(xiǎn)管理策略。

負(fù)責(zé)建立一個(gè)切實(shí)有效的信息科技部門(mén)，承擔(dān)本銀行的信息科技職責(zé)。確保其履行：信息科技預(yù)算和支出、信息科技策略、標(biāo)準(zhǔn)和流程、信息科技內(nèi)部控制、專(zhuān)業(yè)化研發(fā)、信息科技項(xiàng)目發(fā)起和管理、信息系統(tǒng)和信息科技基礎(chǔ)設(shè)施的運(yùn)行、維護(hù)和升級(jí)、信息安全管理、災(zāi)難恢復(fù)計(jì)劃、信息科技外包和信息系統(tǒng)退出等職責(zé)。確保信息科技風(fēng)險(xiǎn)管理的有效性，并使有關(guān)管理措施落實(shí)到相關(guān)的每一個(gè)內(nèi)設(shè)機(jī)構(gòu)和分支機(jī)構(gòu)。

組織專(zhuān)業(yè)培訓(xùn)，提高人才隊(duì)伍的專(zhuān)業(yè)技能。 履行信息科技風(fēng)險(xiǎn)管理其他相關(guān)工作。

科技部負(fù)責(zé)我行信息安全、信息系統(tǒng)開(kāi)發(fā)、測(cè)試和維護(hù)、信息科技運(yùn)行、業(yè)務(wù)連續(xù)性管理；應(yīng)對(duì)內(nèi)部管理職責(zé)進(jìn)行明確的界定，各崗位的人員應(yīng)具有相應(yīng)的專(zhuān)業(yè)知識(shí)和技能，重要崗位應(yīng)制定詳細(xì)完整的工作手冊(cè)并適時(shí)更新，并對(duì)相關(guān)人員采取相關(guān)的風(fēng)險(xiǎn)防范措施： 驗(yàn)證個(gè)人信息，包括核驗(yàn)有效身份證件、學(xué)歷證明、工作經(jīng)歷和專(zhuān)業(yè)資格證書(shū)等信息。審核信息科技員工的道德品行，確保其具備相應(yīng)的職業(yè)操守。

確保員工了解、遵守信息科技策略、指導(dǎo)原則、信息保密、授權(quán)使用信息系統(tǒng)、信息科技管理制度和流程等要求，并同員工簽訂相關(guān)協(xié)議。評(píng)估關(guān)鍵崗位信息科技員工流失帶來(lái)的風(fēng)險(xiǎn)，做好安排候補(bǔ)員工和崗位接替計(jì)劃等防范措施；在員工崗位發(fā)生變化后及時(shí)變更相關(guān)信息。

運(yùn)營(yíng)管理部職能交叉，要部門(mén)協(xié)調(diào)是信息系統(tǒng)中涉及賬務(wù)交易的操作、系統(tǒng)參數(shù)變更、事件管理的主要部門(mén)。運(yùn)營(yíng)管理部的職責(zé)包括：

運(yùn)行與維護(hù)應(yīng)實(shí)行職責(zé)分離，運(yùn)行人員應(yīng)實(shí)行專(zhuān)職，不得由其他人員兼任。運(yùn)行人員應(yīng)按操作規(guī)程巡檢和操作。維護(hù)人員應(yīng)按授權(quán)和維護(hù)規(guī)程要求對(duì)生產(chǎn)狀態(tài)的軟硬件、數(shù)據(jù)進(jìn)行維護(hù)，除應(yīng)急外，其他維護(hù)應(yīng)在非工作時(shí)間進(jìn)行。

制定詳細(xì)的運(yùn)行值班操作表，包括規(guī)定巡檢時(shí)間，操作范圍、內(nèi)容、辦法、命令以及負(fù)責(zé)人員等信息。

提供機(jī)房環(huán)境、設(shè)備使用、網(wǎng)絡(luò)運(yùn)行、系統(tǒng)運(yùn)行職能交叉，要部門(mén)協(xié)調(diào)等監(jiān)控信息。記錄運(yùn)行值班過(guò)程中所有現(xiàn)象、操作過(guò)程等信息日志。對(duì)軟件或數(shù)據(jù)的維護(hù)必須通過(guò)特定的應(yīng)用程序進(jìn)行，添加、刪除和修改數(shù)據(jù)應(yīng)通過(guò)柜員終端，不得對(duì)數(shù)據(jù)庫(kù)進(jìn)行直接操作；

具備各種詳細(xì)的日志信息，包括交易日志和審計(jì)日志等，以便維護(hù)和審計(jì)。提供維護(hù)的統(tǒng)計(jì)和報(bào)表打印功能。對(duì)系統(tǒng)參數(shù)等設(shè)置變更、維護(hù)的要求：

應(yīng)對(duì)信息系統(tǒng)配置參數(shù)實(shí)施嚴(yán)格的安全與保密管理，防止非法生成、變更、泄漏、丟失與破壞。根據(jù)敏感程度和用途，確定存取權(quán)限、方式和授權(quán)使用范圍，嚴(yán)格審批和登記手續(xù)。制訂嚴(yán)密的變更處理流程，明確變更控制中各崗位的職責(zé)，并遵循流程實(shí)施控制和管理；變更前應(yīng)明確應(yīng)急和回退方案，無(wú)授權(quán)不得進(jìn)行變更操作；

根據(jù)變更需求、變更方案、變更內(nèi)容核實(shí)清單等相關(guān)文檔審核變更的正確性、安全性和合法性。職能交叉，要部門(mén)協(xié)調(diào)

應(yīng)對(duì)機(jī)房環(huán)境設(shè)施實(shí)行日常巡檢，明確信息系統(tǒng)及機(jī)房環(huán)境設(shè)施出現(xiàn)故障時(shí)的應(yīng)急處理流程和預(yù)案，有實(shí)時(shí)交易服務(wù)的數(shù)據(jù)中心應(yīng)實(shí)行24小時(shí)值班。

實(shí)行事件報(bào)告制度，發(fā)生信息系統(tǒng)造成重大經(jīng)濟(jì)、聲譽(yù)損失和重大影響事件，應(yīng)即時(shí)上報(bào)并處理，必要時(shí)啟動(dòng)應(yīng)急處理預(yù)案。

風(fēng)險(xiǎn)管理部負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理工作，并直接向分管行領(lǐng)導(dǎo)（風(fēng)險(xiǎn)管理委員會(huì)）報(bào)告工作。該部門(mén)應(yīng)為信息科技突發(fā)事件應(yīng)急響應(yīng)小組的成員之一，負(fù)責(zé)協(xié)調(diào)制定有關(guān)信息科技風(fēng)險(xiǎn)管理策略，尤其是在涉及信息安全、業(yè)務(wù)連續(xù)性計(jì)劃和合規(guī)性風(fēng)險(xiǎn)等方面，為業(yè)務(wù)部門(mén)和信息科技部門(mén)提供建議及相關(guān)合規(guī)性信息，實(shí)施持續(xù)信息科技風(fēng)險(xiǎn)評(píng)估，跟蹤整改意見(jiàn)的落實(shí)，監(jiān)控信息安全威脅和不合規(guī)事件的發(fā)生。風(fēng)險(xiǎn)管理部的職責(zé)包括： 擬定信息系統(tǒng)風(fēng)險(xiǎn)管理總體政策，并提交高級(jí)管理層審查、審批。會(huì)同相關(guān)業(yè)務(wù)部門(mén)對(duì)信息系統(tǒng)風(fēng)險(xiǎn)進(jìn)行識(shí)別、監(jiān)測(cè)； 審核信息系統(tǒng)風(fēng)險(xiǎn)狀況。對(duì)總行相關(guān)業(yè)務(wù)部門(mén)和分支機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)狀況及維護(hù)、運(yùn)行情況進(jìn)行監(jiān)測(cè)，并進(jìn)行實(shí)時(shí)報(bào)告。

組織新投產(chǎn)后信息系統(tǒng)的后評(píng)價(jià)，并識(shí)別、評(píng)估新信息系統(tǒng)中所包含的風(fēng)險(xiǎn)，審核相應(yīng)的操作和風(fēng)險(xiǎn)管理程序。

稽核審計(jì)部應(yīng)在部門(mén)設(shè)立專(zhuān)門(mén)的信息科技風(fēng)險(xiǎn)審計(jì)崗位，負(fù)責(zé)信息科技審計(jì)制度和流程的實(shí)施，制訂和執(zhí)行信息科技審計(jì)計(jì)劃，對(duì)信息科技整個(gè)生命周期和重大事件等進(jìn)行審計(jì)。稽核審計(jì)部負(fù)責(zé)我行信息系統(tǒng)審計(jì)任務(wù)，也可聘請(qǐng)經(jīng)國(guó)家相應(yīng)監(jiān)管部門(mén)認(rèn)定資質(zhì)的中介機(jī)構(gòu)進(jìn)行信息系統(tǒng)外部審計(jì)。信息科技風(fēng)險(xiǎn)管理

我行應(yīng)制定全面的信息科技風(fēng)險(xiǎn)管理策略，包括但不限于下述領(lǐng)域： 信息分級(jí)與保護(hù)。

信息系統(tǒng)開(kāi)發(fā)、測(cè)試和維護(hù)。信息科技運(yùn)行和維護(hù)。訪(fǎng)問(wèn)控制。物理安全。人員安全。

業(yè)務(wù)連續(xù)性計(jì)劃與應(yīng)急處置。

我行應(yīng)制定持續(xù)的風(fēng)險(xiǎn)識(shí)別和評(píng)估流程，確定信息科技中存在隱患的區(qū)域，評(píng)價(jià)風(fēng)險(xiǎn)對(duì)其業(yè)務(wù)的潛在影響，對(duì)風(fēng)險(xiǎn)進(jìn)行排序，并確定風(fēng)險(xiǎn)防范措施及所需資源的優(yōu)先級(jí)別（包括外包供應(yīng)商、產(chǎn)品供應(yīng)商和服務(wù)商）。

我行應(yīng)依據(jù)信息科技風(fēng)險(xiǎn)管理策略和風(fēng)險(xiǎn)評(píng)估結(jié)果，實(shí)施全面的風(fēng)險(xiǎn)防范措施。防范措施應(yīng)包括：

制定明確的信息科技風(fēng)險(xiǎn)管理制度、技術(shù)標(biāo)準(zhǔn)和操作規(guī)程等，定期進(jìn)行更新和公示。

確定潛在風(fēng)險(xiǎn)區(qū)域，并對(duì)這些區(qū)域進(jìn)行詳細(xì)和獨(dú)立的監(jiān)控，實(shí)現(xiàn)風(fēng)險(xiǎn)最小化。建立適當(dāng)?shù)目刂瓶蚣埽员阌跈z查和平衡風(fēng)險(xiǎn)；定義每個(gè)業(yè)務(wù)級(jí)別的控制內(nèi)容，包括： 最高權(quán)限用戶(hù)的審查。

控制對(duì)數(shù)據(jù)和系統(tǒng)的物理和邏輯訪(fǎng)問(wèn)。

訪(fǎng)問(wèn)授權(quán)以“必需知道”和“最小授權(quán)”為原則。審批和授權(quán)。驗(yàn)證和調(diào)節(jié)。

我行應(yīng)建立持續(xù)的信息科技風(fēng)險(xiǎn)計(jì)量和監(jiān)測(cè)機(jī)制，其中應(yīng)包括： 建立信息科技項(xiàng)目實(shí)施前及實(shí)施后的評(píng)價(jià)機(jī)制。建立定期檢查系統(tǒng)性能的程序和標(biāo)準(zhǔn)。

建立信息科技服務(wù)投訴和事故處理的報(bào)告機(jī)制。

建立內(nèi)部審計(jì)、外部審計(jì)和監(jiān)管發(fā)現(xiàn)問(wèn)題的整改處理機(jī)制。

安排供應(yīng)商和業(yè)務(wù)部門(mén)對(duì)服務(wù)水平協(xié)議的完成情況進(jìn)行定期審查。定期評(píng)估新技術(shù)發(fā)展可能造成的影響和已使用軟件面臨的新威脅。定期進(jìn)行運(yùn)行環(huán)境下操作風(fēng)險(xiǎn)和管理控制的檢查。定期進(jìn)行信息科技外包項(xiàng)目的風(fēng)險(xiǎn)狀況評(píng)價(jià)。信息安全

科技部負(fù)責(zé)建立和實(shí)施信息分類(lèi)和保護(hù)體系，應(yīng)使所有員工都了解信息安全的重要性，并組織提供必要的培訓(xùn)，讓員工充分了解其職責(zé)范圍內(nèi)的信息保護(hù)流程。

科技部應(yīng)落實(shí)信息安全管理職能。該職能應(yīng)包括建立信息安全計(jì)劃和保持長(zhǎng)效的管理機(jī)制，提高全體員工信息安全意識(shí)，就安全問(wèn)題向其他部門(mén)提供建議，并定期向信息科技管理委員會(huì)提交本銀行信息安全評(píng)估報(bào)告。信息安全管理機(jī)制應(yīng)包括信息安全標(biāo)準(zhǔn)、策略、實(shí)施計(jì)劃和持續(xù)維護(hù)計(jì)劃。信息安全策略應(yīng)涉及以下領(lǐng)域： 安全制度管理。信息安全組織管理。資產(chǎn)管理。人員安全管理。

物理與環(huán)境安全管理。通信與運(yùn)營(yíng)管理。訪(fǎng)問(wèn)控制管理。

系統(tǒng)開(kāi)發(fā)與維護(hù)管理。信息安全事故管理。業(yè)務(wù)連續(xù)性管理。合規(guī)性管理。

應(yīng)建立有效管理用戶(hù)認(rèn)證和訪(fǎng)問(wèn)控制的流程。用戶(hù)對(duì)數(shù)據(jù)和系統(tǒng)的訪(fǎng)問(wèn)必須選擇與信息訪(fǎng)問(wèn)級(jí)別相匹配的認(rèn)證機(jī)制，并且確保其在信息系統(tǒng)內(nèi)的活動(dòng)只限于相關(guān)業(yè)務(wù)能合法開(kāi)展所要求的最低限度。用戶(hù)調(diào)動(dòng)到新的工作崗位或離開(kāi)我行時(shí)，應(yīng)在系統(tǒng)中及時(shí)檢查、更新或注銷(xiāo)用戶(hù)身份。

應(yīng)確保設(shè)立物理安全保護(hù)區(qū)域，包括計(jì)算機(jī)中心或數(shù)據(jù)中心、存儲(chǔ)機(jī)密信息或放置網(wǎng)絡(luò)設(shè)備等重要信息科技設(shè)備的區(qū)域，明確相應(yīng)的職責(zé)，采取必要的預(yù)防、檢測(cè)和恢復(fù)控制措施。應(yīng)根據(jù)信息安全級(jí)別，將網(wǎng)絡(luò)劃分為不同的邏輯安全域（以下簡(jiǎn)稱(chēng)為域）。應(yīng)該對(duì)下列安全因素進(jìn)行評(píng)估，并根據(jù)安全級(jí)別定義和評(píng)估結(jié)果實(shí)施有效的安全控制，如對(duì)每個(gè)域和整個(gè)網(wǎng)絡(luò)進(jìn)行物理或邏輯分區(qū)、實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)容過(guò)濾、邏輯訪(fǎng)問(wèn)控制、傳輸加密、網(wǎng)絡(luò)監(jiān)控、記錄活動(dòng)日志等。

域內(nèi)應(yīng)用程序和用戶(hù)組的重要程度。各種通訊渠道進(jìn)入域的訪(fǎng)問(wèn)點(diǎn)。

域內(nèi)配置的網(wǎng)絡(luò)設(shè)備和應(yīng)用程序使用的網(wǎng)絡(luò)協(xié)議和端口。性能要求或標(biāo)準(zhǔn)。

域的性質(zhì)，如生產(chǎn)域或測(cè)試域、內(nèi)部域或外部域。不同域之間的連通性。域的可信程度。

應(yīng)通過(guò)以下措施，確保所有計(jì)算機(jī)操作系統(tǒng)和系統(tǒng)軟件的安全：

制定每種類(lèi)型操作系統(tǒng)的基本安全要求，確保所有系統(tǒng)滿(mǎn)足基本安全要求。

明確定義包括終端用戶(hù)、系統(tǒng)開(kāi)發(fā)人員、系統(tǒng)測(cè)試人員、計(jì)算機(jī)操作人員、系統(tǒng)管理員和用戶(hù)管理員等不同用戶(hù)組的訪(fǎng)問(wèn)權(quán)限。制定最高權(quán)限系統(tǒng)賬戶(hù)的審批、驗(yàn)證和監(jiān)控流程，并確保最高權(quán)限用戶(hù)的操作日志被記錄和監(jiān)察。要求技術(shù)人員定期檢查可用的安全補(bǔ)丁，并報(bào)告補(bǔ)丁管理狀態(tài)。在系統(tǒng)日志中記錄不成功的登錄、重要系統(tǒng)文件的訪(fǎng)問(wèn)、對(duì)用戶(hù)賬戶(hù)的修改等有關(guān)重要事項(xiàng)，手動(dòng)或自動(dòng)監(jiān)控系統(tǒng)出現(xiàn)的任何異常事件，定期匯報(bào)監(jiān)控情況。應(yīng)通過(guò)以下措施，確保所有信息系統(tǒng)安全：

明確定義終端用戶(hù)和信息科技技術(shù)人員在信息系統(tǒng)安全中的角色和職責(zé)。針對(duì)信息系統(tǒng)的重要性和敏感程度，采取有效的身份驗(yàn)證方法。加強(qiáng)職責(zé)劃分，對(duì)關(guān)鍵或敏感崗位進(jìn)行雙重控制。在關(guān)鍵的接合點(diǎn)進(jìn)行輸入驗(yàn)證或輸出核對(duì)。

采取安全的方式處理保密信息的輸入和輸出，防止信息泄露或被盜取、篡改。

確保系統(tǒng)按預(yù)先定義的方式處理例外情況，當(dāng)系統(tǒng)被迫終止時(shí)向用戶(hù)提供必要信息。以書(shū)面或電子格式保存審計(jì)痕跡。

要求用戶(hù)管理員監(jiān)控和審查未成功的登錄和用戶(hù)賬戶(hù)的修改。

應(yīng)制定相關(guān)策略和流程，管理所有生產(chǎn)系統(tǒng)的活動(dòng)日志，以支持有效的審核、安全取證分析和預(yù)防欺詐。日志可以在軟件的不同層次、不同的計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備上完成，日志劃分為兩大類(lèi)： 交易日志。交易日志由應(yīng)用軟件和數(shù)據(jù)庫(kù)管理系統(tǒng)產(chǎn)生，內(nèi)容包括用戶(hù)登錄嘗試、數(shù)據(jù)修改、錯(cuò)誤信息等。交易日志應(yīng)按照國(guó)家會(huì)計(jì)準(zhǔn)則要求予以保存。系統(tǒng)日志。系統(tǒng)日志由操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)、防火墻、入侵檢測(cè)系統(tǒng)和路由器等生成，內(nèi)容包括管理登錄嘗試、系統(tǒng)事件、網(wǎng)絡(luò)事件、錯(cuò)誤信息等。系統(tǒng)日志保存期限按系統(tǒng)的風(fēng)險(xiǎn)等級(jí)確定，但不能少于一年。

應(yīng)保證交易日志和系統(tǒng)日志中包含足夠的內(nèi)容，以便完成有效的內(nèi)部控制、解決系統(tǒng)故障和滿(mǎn)足審計(jì)需要；應(yīng)采取適當(dāng)措施保證所有日志同步計(jì)時(shí)，并確保其完整性。在例外情況發(fā)生后應(yīng)及時(shí)復(fù)查系統(tǒng)日志。交易日志或系統(tǒng)日志的復(fù)查頻率和保存周期應(yīng)由信息科技部門(mén)和有關(guān)業(yè)務(wù)部門(mén)共同決定，并報(bào)信息科技管理委員會(huì)批準(zhǔn)。

應(yīng)采取加密技術(shù)，防范涉密信息在傳輸、處理、存儲(chǔ)過(guò)程中出現(xiàn)泄露或被篡改的風(fēng)險(xiǎn)，并建立密碼設(shè)備管理制度，以確保：

使用符合國(guó)家要求的加密技術(shù)和加密設(shè)備。

管理、使用密碼設(shè)備的員工經(jīng)過(guò)專(zhuān)業(yè)培訓(xùn)和嚴(yán)格審查。加密強(qiáng)度滿(mǎn)足信息機(jī)密性的要求。

制定并落實(shí)有效的管理流程，尤其是密鑰和證書(shū)生命周期管理。

配備切實(shí)有效的系統(tǒng)，確保所有終端用戶(hù)設(shè)備的安全，并定期對(duì)所有設(shè)備進(jìn)行安全檢查，包括臺(tái)式個(gè)人計(jì)算機(jī)（PC）、便攜式計(jì)算機(jī)、柜員終端、自動(dòng)柜員機(jī)（ATM）、存折打印機(jī)、讀卡器、銷(xiāo)售終端（POS）和個(gè)人數(shù)字助理（PDA）等。

制定相關(guān)制度和流程，嚴(yán)格管理客戶(hù)信息的采集、處理、存貯、傳輸、分發(fā)、備份、恢復(fù)、清理和銷(xiāo)毀。

對(duì)所有員工進(jìn)行必要的培訓(xùn)，使其充分掌握信息科技風(fēng)險(xiǎn)管理制度和流程，了解違反規(guī)定的后果，并對(duì)違反安全規(guī)定的行為采取零容忍政策。信息系統(tǒng)開(kāi)發(fā)、測(cè)試和維護(hù)

應(yīng)有能力對(duì)信息系統(tǒng)進(jìn)行需求分析、規(guī)劃、采購(gòu)、開(kāi)發(fā)、測(cè)試、部署、維護(hù)、升級(jí)和報(bào)廢，制定制度和流程，管理信息科技項(xiàng)目的優(yōu)先排序、立項(xiàng)、審批和控制。項(xiàng)目實(shí)施部門(mén)應(yīng)定期向信息科技管理委員會(huì)提交重大信息科技項(xiàng)目的進(jìn)度報(bào)告，由其進(jìn)行審核，進(jìn)度報(bào)告應(yīng)當(dāng)包括計(jì)劃的重大變更、關(guān)鍵人員或供應(yīng)商的變更以及主要費(fèi)用支出情況。應(yīng)在信息系統(tǒng)投產(chǎn)后一定時(shí)期內(nèi)，組織對(duì)系統(tǒng)的后評(píng)價(jià)，并根據(jù)評(píng)價(jià)結(jié)果及時(shí)對(duì)系統(tǒng)功能進(jìn)行調(diào)整和優(yōu)化。應(yīng)認(rèn)識(shí)到信息科技項(xiàng)目相關(guān)的風(fēng)險(xiǎn)，包括潛在的各種操作風(fēng)險(xiǎn)、財(cái)務(wù)損失風(fēng)險(xiǎn)和因無(wú)效項(xiàng)目規(guī)劃或不適當(dāng)?shù)捻?xiàng)目管理控制產(chǎn)生的機(jī)會(huì)成本，并采取適當(dāng)?shù)捻?xiàng)目管理方法，控制信息科技項(xiàng)目相關(guān)的風(fēng)險(xiǎn)。

采取適當(dāng)?shù)南到y(tǒng)開(kāi)發(fā)方法，控制信息系統(tǒng)的生命周期。典型的系統(tǒng)生命周期包括系統(tǒng)分析、設(shè)計(jì)、開(kāi)發(fā)或外購(gòu)、測(cè)試、試運(yùn)行、部署、維護(hù)和退出。所采用的系統(tǒng)開(kāi)發(fā)方法應(yīng)符合信息科技項(xiàng)目的規(guī)模、性質(zhì)和復(fù)雜度。

制定相關(guān)控制信息系統(tǒng)變更的制度和流程，確保系統(tǒng)的可靠性、完整性和可維護(hù)性，其中應(yīng)包括以下要求：

生產(chǎn)系統(tǒng)與開(kāi)發(fā)系統(tǒng)、測(cè)試系統(tǒng)有效隔離。

生產(chǎn)系統(tǒng)與開(kāi)發(fā)系統(tǒng)、測(cè)試系統(tǒng)的管理職能相分離。除得到管理層批準(zhǔn)執(zhí)行緊急修復(fù)任務(wù)外，禁止應(yīng)用程序開(kāi)發(fā)和維護(hù)人員進(jìn)入生產(chǎn)系統(tǒng)，且所有的緊急修復(fù)活動(dòng)都應(yīng)立即進(jìn)行記錄和審核。

將完成開(kāi)發(fā)和測(cè)試環(huán)境的程序或系統(tǒng)配置變更應(yīng)用到生產(chǎn)系統(tǒng)時(shí)，應(yīng)得到信息科技部門(mén)和業(yè)務(wù)部門(mén)的聯(lián)合批準(zhǔn)，并對(duì)變更進(jìn)行及時(shí)記錄和定期復(fù)查。

制定并落實(shí)相關(guān)制度、標(biāo)準(zhǔn)和流程，確保信息系統(tǒng)開(kāi)發(fā)、測(cè)試、維護(hù)過(guò)程中數(shù)據(jù)的完整性、保密性和可用性。

建立并完善有效的問(wèn)題管理流程，以確保全面地追蹤、分析和解決信息系統(tǒng)問(wèn)題，并對(duì)問(wèn)題進(jìn)行記錄、分類(lèi)和索引；如需供應(yīng)商提供支持服務(wù)或技術(shù)援助，應(yīng)向相關(guān)人員提供所需的合同和相關(guān)信息，并將過(guò)程記錄在案；對(duì)完成緊急恢復(fù)起至關(guān)重要作用的任務(wù)和指令集，應(yīng)有清晰的描述和說(shuō)明，并通知相關(guān)人員。信息科技運(yùn)行

在選擇數(shù)據(jù)中心的地理位置時(shí)，應(yīng)充分考慮環(huán)境威脅（如是否接近自然災(zāi)害多發(fā)區(qū)、危險(xiǎn)或有害設(shè)施、繁忙或主要公路），采取物理控制措施，監(jiān)控對(duì)信息處理設(shè)備運(yùn)行構(gòu)成威脅的環(huán)境狀況，并防止因意外斷電或供電干擾影響數(shù)據(jù)中心的正常運(yùn)行。

嚴(yán)格控制第三方人員（如服務(wù)供應(yīng)商）進(jìn)入安全區(qū)域，如確需進(jìn)入應(yīng)得到適當(dāng)?shù)呐鷾?zhǔn)，其活動(dòng)也應(yīng)受到監(jiān)控；針對(duì)長(zhǎng)期或臨時(shí)聘用的技術(shù)人員和承包商，尤其是從事敏感性技術(shù)相關(guān)工作的人員，應(yīng)制定嚴(yán)格的審查程序，包括身份驗(yàn)證和背景調(diào)查。應(yīng)將信息科技運(yùn)行與系統(tǒng)開(kāi)發(fā)和維護(hù)分離，確保信息科技部門(mén)內(nèi)部的崗位制約；對(duì)數(shù)據(jù)中心的崗位和職責(zé)做出明確規(guī)定。

按照有關(guān)法律法規(guī)要求保存交易記錄，采取必要的程序和技術(shù)，確保存檔數(shù)據(jù)的完整性，滿(mǎn)足安全保存和可恢復(fù)要求。

制定詳盡的信息科技運(yùn)行操作說(shuō)明。如在信息科技運(yùn)行手冊(cè)中說(shuō)明計(jì)算機(jī)操作人員的任務(wù)、工作日程、執(zhí)行步驟，以及生產(chǎn)與開(kāi)發(fā)環(huán)境中數(shù)據(jù)、軟件的現(xiàn)場(chǎng)及非現(xiàn)場(chǎng)備份流程和要求（即備份的頻率、范圍和保留周期）。建立事故管理及處置機(jī)制，及時(shí)響應(yīng)信息系統(tǒng)運(yùn)行事故，逐級(jí)向相關(guān)的信息科技管理人員報(bào)告事故的發(fā)生，并進(jìn)行記錄、分析和跟蹤，直到完成徹底的處置和根本原因分析。我行應(yīng)建立服務(wù)臺(tái)，為用戶(hù)提供相關(guān)技術(shù)問(wèn)題的在線(xiàn)支持，并將問(wèn)題提交給相關(guān)信息科技部門(mén)進(jìn)行調(diào)查和解決。

建立服務(wù)水平管理相關(guān)的制度和流程，對(duì)信息科技運(yùn)行服務(wù)水平進(jìn)行考核。

建立連續(xù)監(jiān)控信息系統(tǒng)性能的相關(guān)程序，及時(shí)、完整地報(bào)告例外情況；該程序應(yīng)提供預(yù)警功能，在例外情況對(duì)系統(tǒng)性能造成影響前對(duì)其進(jìn)行識(shí)別和修正。制定容量規(guī)劃，以適應(yīng)由于外部環(huán)境變化產(chǎn)生的業(yè)務(wù)發(fā)展和交易量增長(zhǎng)。容量規(guī)劃應(yīng)涵蓋生產(chǎn)系統(tǒng)、備份系統(tǒng)及相關(guān)設(shè)備。及時(shí)進(jìn)行維護(hù)和適當(dāng)?shù)南到y(tǒng)升級(jí)，以確保與技術(shù)相關(guān)服務(wù)的連續(xù)可用性，并完整保存記錄（包括疑似和實(shí)際的故障、預(yù)防性和補(bǔ)救性維護(hù)記錄），以確保有效維護(hù)設(shè)備和設(shè)施。制定有效的變更管理流程，以確保生產(chǎn)環(huán)境的完整性和可靠性。包括緊急變更在內(nèi)的所有變更都應(yīng)記入日志，由信息科技部門(mén)和業(yè)務(wù)部門(mén)共同審核簽字，并事先進(jìn)行備份,以便必要時(shí)可以恢復(fù)原來(lái)的系統(tǒng)版本和數(shù)據(jù)文件。緊急變更成功后,應(yīng)通過(guò)正常的驗(yàn)收測(cè)試和變更管理流程,采用恰當(dāng)?shù)男拚匀〈o急變更。業(yè)務(wù)連續(xù)性管理

根據(jù)自身業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度制定適當(dāng)?shù)臉I(yè)務(wù)連續(xù)性規(guī)劃，以確保在出現(xiàn)無(wú)法預(yù)見(jiàn)的中斷時(shí)，系統(tǒng)仍能持續(xù)運(yùn)行并提供服務(wù)；定期對(duì)規(guī)劃進(jìn)行更新和演練，以保證其有效性。評(píng)估因意外事件導(dǎo)致其業(yè)務(wù)運(yùn)行中斷的可能性及其影響，包括評(píng)估可能由下述原因?qū)е碌钠茐模?/p>

內(nèi)外部資源的故障或缺失（如人員、系統(tǒng)或其他資產(chǎn)）。信息丟失或受損。

外部事件（如戰(zhàn)爭(zhēng)、地震或臺(tái)風(fēng)等）。

應(yīng)采取系統(tǒng)恢復(fù)和雙機(jī)熱備處理等措施降低業(yè)務(wù)中斷的可能性，并通過(guò)應(yīng)急安排和保險(xiǎn)等方式降低影響。

建立維持其運(yùn)營(yíng)連續(xù)性策略的文檔，并制定對(duì)策略的充分性和有效性進(jìn)行檢查和溝通的計(jì)劃。其中包括：

規(guī)范的業(yè)務(wù)連續(xù)性計(jì)劃,明確降低短期、中期和長(zhǎng)期中斷所造成影響的措施，包括但不限于: 資源需求（如人員、系統(tǒng)和其他資產(chǎn)）以及獲取資源的方式。運(yùn)行恢復(fù)的優(yōu)先順序。

與內(nèi)部各部門(mén)及外部相關(guān)各方（尤其是監(jiān)管機(jī)構(gòu)、客戶(hù)和媒體等）的溝通安排。更新實(shí)施業(yè)務(wù)連續(xù)性計(jì)劃的流程及相關(guān)聯(lián)系信息。驗(yàn)證受中斷影響的信息完整性的步驟。

當(dāng)我行的業(yè)務(wù)或風(fēng)險(xiǎn)狀況發(fā)生變化時(shí)，對(duì)本條一到三進(jìn)行審核并升級(jí)。

我行的業(yè)務(wù)連續(xù)性計(jì)劃和應(yīng)急演練結(jié)果應(yīng)由信息科技風(fēng)險(xiǎn)管理部門(mén)或信息科技管理委員會(huì)確認(rèn)。外包與審計(jì) 外包

不得將我行信息科技管理責(zé)任外包，應(yīng)合理謹(jǐn)慎監(jiān)督外包職能的履行。

實(shí)施重要外包（如數(shù)據(jù)中心和信息科技基礎(chǔ)設(shè)施等)應(yīng)格外謹(jǐn)慎，在準(zhǔn)備實(shí)施重要外包時(shí)應(yīng)以書(shū)面材料正式報(bào)告銀監(jiān)會(huì)或其派出機(jī)構(gòu)。

在簽署外包協(xié)議或?qū)ν獍鼌f(xié)議進(jìn)行重大變更前，應(yīng)做好相關(guān)準(zhǔn)備，其中包括：

分析外包是否適合我行的組織結(jié)構(gòu)和報(bào)告路線(xiàn)、業(yè)務(wù)戰(zhàn)略、總體風(fēng)險(xiǎn)控制，是否滿(mǎn)足我行履行對(duì)外包服務(wù)商的監(jiān)督義務(wù)。

考慮外包協(xié)議是否允許我行監(jiān)測(cè)和控制與外包相關(guān)的操作風(fēng)險(xiǎn)。

充分審查、評(píng)估外包服務(wù)商的財(cái)務(wù)穩(wěn)定性和專(zhuān)業(yè)經(jīng)驗(yàn)，對(duì)外包服務(wù)商進(jìn)行風(fēng)險(xiǎn)評(píng)估，考查其設(shè)施和能力是否足以承擔(dān)相應(yīng)的責(zé)任。

考慮外包協(xié)議變更前后實(shí)施的平穩(wěn)過(guò)渡（包括終止合同可能發(fā)生的情況）。

關(guān)注可能存在的集中風(fēng)險(xiǎn)，如多家我行共用同一外包服務(wù)商帶來(lái)的潛在業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)。在與外包服務(wù)商合同談判過(guò)程中，應(yīng)考慮的因素包括但不限于： 對(duì)外包服務(wù)商的報(bào)告要求和談判必要條件。

銀行業(yè)監(jiān)管機(jī)構(gòu)和內(nèi)部審計(jì)、外部審計(jì)能執(zhí)行足夠的監(jiān)督。

通過(guò)界定信息所有權(quán)、簽署保密協(xié)議和采取技術(shù)防護(hù)措施保護(hù)客戶(hù)信息和其他信息。擔(dān)保和損失賠償是否充足。

外包服務(wù)商遵守我行有關(guān)信息科技風(fēng)險(xiǎn)制度和流程的意愿及相關(guān)措施。外包服務(wù)商提供的業(yè)務(wù)連續(xù)性保障水平，以及提供相關(guān)專(zhuān)屬資源的承諾。第三方供應(yīng)商出現(xiàn)問(wèn)題時(shí)，保證軟件持續(xù)可用的相關(guān)措施。

變更外包協(xié)議的流程，以及我行或外包服務(wù)商選擇變更或終止外包協(xié)議的條件，例如： 我行或外包服務(wù)商的所有權(quán)或控制權(quán)發(fā)生變化。我行或外包服務(wù)商的業(yè)務(wù)經(jīng)營(yíng)發(fā)生重大變化。

外包服務(wù)商提供的服務(wù)不充分，造成我行不能履行監(jiān)督義務(wù)。

在實(shí)施雙方關(guān)系管理，以及起草服務(wù)水平協(xié)議時(shí)，應(yīng)考慮的因素包括但不限于：

提出定性和定量的績(jī)效指標(biāo)，評(píng)估外包服務(wù)商為我行及其相關(guān)客戶(hù)提供服務(wù)的充分性。通過(guò)服務(wù)水平報(bào)告、定期自我評(píng)估、內(nèi)部或外部獨(dú)立審計(jì)進(jìn)行績(jī)效考核。針對(duì)績(jī)效不達(dá)標(biāo)的情況調(diào)整流程，采取整改措施。加強(qiáng)信息科技相關(guān)外包管理工作，確保我行的客戶(hù)資料等敏感信息的安全，包括但不限于采取以下措施：

實(shí)現(xiàn)本銀行客戶(hù)資料與外包服務(wù)商其他客戶(hù)資料的有效隔離。

按照“必需知道”和“最小授權(quán)”原則對(duì)外包服務(wù)商相關(guān)人員授權(quán)。要求外包服務(wù)商保證其相關(guān)人員遵守保密規(guī)定。

應(yīng)將涉及本銀行客戶(hù)資料的外包作為重要外包，并告知相關(guān)客戶(hù)。

嚴(yán)格控制外包服務(wù)商再次對(duì)外轉(zhuǎn)包，采取足夠措施確保我行相關(guān)信息的安全。確保在中止外包協(xié)議時(shí)收回或銷(xiāo)毀外包服務(wù)商保存的所有客戶(hù)資料。我行應(yīng)建立恰當(dāng)?shù)膽?yīng)急措施，應(yīng)對(duì)外包服務(wù)商在服務(wù)中可能出現(xiàn)的重大缺失。尤其需要考慮外包服務(wù)商的重大資源損失，重大財(cái)務(wù)損失和重要人員的變動(dòng)，以及外包協(xié)議的意外終止。我行所有信息科技外包合同應(yīng)由科技部、風(fēng)險(xiǎn)管理部、法律合規(guī)部和信息科技管理委員會(huì)審核通過(guò)。我行應(yīng)設(shè)立流程定期審閱和修訂服務(wù)水平協(xié)議。審計(jì)

我行內(nèi)部審計(jì)部門(mén)應(yīng)根據(jù)業(yè)務(wù)的性質(zhì)、規(guī)模和復(fù)雜程度，對(duì)相關(guān)系統(tǒng)及其控制的適當(dāng)性和有效性進(jìn)行監(jiān)測(cè)?；藢徲?jì)部門(mén)應(yīng)配備足夠的資源和具有專(zhuān)業(yè)能力的信息科技審計(jì)人員，獨(dú)立于我行的日?；顒?dòng)，具有適當(dāng)?shù)氖跈?quán)訪(fǎng)問(wèn)我行的記錄。我行內(nèi)部信息科技審計(jì)的責(zé)任包括：

制定、實(shí)施和調(diào)整審計(jì)計(jì)劃，檢查和評(píng)估我行信息科技系統(tǒng)和內(nèi)控機(jī)制的充分性和有效性。按照第一款規(guī)定完成審計(jì)工作，在此基礎(chǔ)上提出整改意見(jiàn)。檢查整改意見(jiàn)是否得到落實(shí)。

執(zhí)行信息科技專(zhuān)項(xiàng)審計(jì)。信息科技專(zhuān)項(xiàng)審計(jì)，是指對(duì)信息科技安全事故進(jìn)行的調(diào)查、分析和評(píng)估，或?qū)徲?jì)部門(mén)根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果對(duì)認(rèn)為必要的特殊事項(xiàng)進(jìn)行的審計(jì)。

我行應(yīng)根據(jù)業(yè)務(wù)性質(zhì)、規(guī)模和復(fù)雜程度，信息科技應(yīng)用情況，以及信息科技風(fēng)險(xiǎn)評(píng)估結(jié)果，決定信息科技內(nèi)部審計(jì)范圍和頻率。但至少應(yīng)每三年進(jìn)行一次全面審計(jì)。我行在進(jìn)行大規(guī)模系統(tǒng)開(kāi)發(fā)時(shí)，應(yīng)要求信息科技風(fēng)險(xiǎn)管理部門(mén)和內(nèi)部審計(jì)部門(mén)參與，保證系統(tǒng)開(kāi)發(fā)符合本銀行信息科技風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)。我行可以在符合法律、法規(guī)和監(jiān)管要求的情況下，委托具備相應(yīng)資質(zhì)的外部審計(jì)機(jī)構(gòu)進(jìn)行信息科技外部審計(jì)。

在委托審計(jì)過(guò)程中，我行應(yīng)確保外部審計(jì)機(jī)構(gòu)能夠?qū)Ρ俱y行的硬件、軟件、文檔和數(shù)據(jù)進(jìn)行檢查，以發(fā)現(xiàn)信息科技存在的風(fēng)險(xiǎn)，國(guó)家法律、法規(guī)及監(jiān)管部門(mén)規(guī)章、規(guī)范性文件規(guī)定的重要商業(yè)、技術(shù)保密信息除外。

我行在實(shí)施外部審計(jì)前應(yīng)與外部審計(jì)機(jī)構(gòu)進(jìn)行充分溝通，詳細(xì)確定審計(jì)范圍，不應(yīng)故意隱瞞事實(shí)或阻撓審計(jì)檢查。

銀監(jiān)會(huì)及其派出機(jī)構(gòu)必要時(shí)可指定具備相應(yīng)資質(zhì)的外部審計(jì)機(jī)構(gòu)對(duì)我行執(zhí)行信息科技審計(jì)或相關(guān)檢查。外部審計(jì)機(jī)構(gòu)根據(jù)銀監(jiān)會(huì)或其派出機(jī)構(gòu)的委托或授權(quán)對(duì)我行進(jìn)行審計(jì)時(shí)，應(yīng)出示委托授權(quán)書(shū)，并依照委托授權(quán)書(shū)上規(guī)定的范圍進(jìn)行審計(jì)。外部審計(jì)機(jī)構(gòu)根據(jù)授權(quán)出具的審計(jì)報(bào)告，經(jīng)銀監(jiān)會(huì)及其派出機(jī)構(gòu)審閱批準(zhǔn)后具有與銀監(jiān)會(huì)及其派出機(jī)構(gòu)出具的檢查報(bào)告同等的效力，被審計(jì)的我行應(yīng)根據(jù)該審計(jì)報(bào)告提出整改計(jì)劃，并在規(guī)定的時(shí)間內(nèi)實(shí)施整改。

我行在委托外部審計(jì)機(jī)構(gòu)進(jìn)行外部審計(jì)時(shí)，應(yīng)與其簽訂保密協(xié)議，并督促其嚴(yán)格遵守法律法規(guī)，保守本銀行的商業(yè)秘密和信息科技風(fēng)險(xiǎn)信息，防止其擅自對(duì)本銀行提供的任何文件進(jìn)行修改、復(fù)制或帶離現(xiàn)場(chǎng)。附則

本辦法由營(yíng)口沿海銀風(fēng)險(xiǎn)管理部負(fù)責(zé)解釋和修訂。