第一篇：銀監(jiān)會：商業(yè)銀行現場檢查手冊

商業(yè)銀行現場檢查手冊

第一章 現場檢查基本原理

第一節(jié) 現場檢查的目的和作用

第二節(jié) 現場檢查的原則

第三節(jié) 現場檢查的內容

第四節(jié) 現場檢查的種類與方法

第五節(jié) 現場檢查抽樣

第六節(jié) 現場檢查的法律事務

第二章 現場檢查操作流程

第一節(jié) 第二節(jié) 第三節(jié) 第四節(jié) 第五節(jié) 第三章 第一節(jié) 第二節(jié) 第三節(jié) 第四節(jié) 第五節(jié) 第六節(jié) 第七節(jié) 第八節(jié) 第九節(jié) 第十節(jié) 第四章 第一節(jié) 第二節(jié) 第三節(jié) 第四節(jié) 第五節(jié) 第六節(jié) 第七節(jié) 第八節(jié) 第九節(jié) 第五章 第一節(jié) 現場檢查準備階段 現場檢查實施階段 現場檢查報告階段 現場檢查處理階段 檢查檔案整理階段

貨款及表內其他授信業(yè)務 綜述

授信管理

貨款風險分類

貨款集中、關聯企業(yè)貨款和關聯交易 公司授信 貿易融資 房地產貨款 銀團貨款 項目融資

個人授信業(yè)務 非信資產 綜述 存放

拆放同業(yè)

證券和投資 固定資產

無形及遞延資產 應收款

現金及銀行存款 抵債資產

存款及表內其他負債 綜述

第二節(jié) 存款

第三節(jié) 第四節(jié) 第五節(jié) 第六章 第一節(jié) 第二節(jié) 第三節(jié) 第四節(jié) 第五節(jié) 第七章 第一節(jié) 第二節(jié) 第三節(jié) 第四節(jié) 第五節(jié) 第六節(jié) 第七節(jié) 第八節(jié) 第九節(jié) 同業(yè)存放、拆入 證券融資 其他負債 財務管理 綜述

財務計劃檢查

營業(yè)收入、成本與費用 資產減值準備 利潤及利潤分配 中間業(yè)務

綜述

票據業(yè)務 結售匯業(yè)務 信用證

銀行卡業(yè)務 代理業(yè)務

銀行承兌匯票

保函與備用信用證 貨款承諾

第十節(jié) 交易類中間業(yè)務 第十一節(jié) 基金托管業(yè)務 第十二節(jié) 咨詢顧問業(yè)務 第十三節(jié) 代保管業(yè)務 第八章 電子銀行 第一節(jié) 綜述

第二節(jié) 網上銀行業(yè)務 第三節(jié) 電話銀行業(yè)務 第四節(jié) 手機銀行業(yè)務 第五節(jié) ATM、POS機業(yè)務 第九章 第一節(jié) 第二節(jié) 第三節(jié) 第四節(jié) 第十章 第一節(jié) 第二節(jié) 資金清算 綜述

同業(yè)往來

聯行往來業(yè)務 國際清算 資本充足率 綜述

資本充足率檢查

第三節(jié) 監(jiān)管評級監(jiān)管措施

第十一章 流動性管理 第一節(jié) 綜述

第二節(jié) 流動性檢查

第三節(jié) 流動性評價及監(jiān)管措施 第十二章 市場風險 第一節(jié) 綜述

第二節(jié) 市場風險管理法

第三節(jié) 市場風險檢查程序與方法

第十三章 對商業(yè)銀行境外機構的現場檢查 第一節(jié) 跨境監(jiān)管概述

第二節(jié) 我國對商業(yè)銀行跨境監(jiān)管的規(guī)定 第三節(jié) 商業(yè)銀行對鏡外機構的管理 第四節(jié) 商業(yè)銀行境外機構

第五節(jié) 與其他監(jiān)管當局的信息交流與合作 第十四章 公司治理 第一節(jié) 綜述

第二節(jié) 法人治理機制 第三節(jié) 高級管理層評價

第四節(jié) 對分支機構和相關機構的管理 第五節(jié) 內部審計

第六節(jié) 經營戰(zhàn)略與政策 第十五章 內部控制 第一節(jié) 綜述

第二節(jié) 資產負債管理

第三節(jié) 管理信息系統(tǒng)與會計系統(tǒng) 第四節(jié) 人力資源管理 第五節(jié) 計算機系統(tǒng)管理 第六節(jié) 安全保衛(wèi)

第十六章 商業(yè)銀行風險評估 第一節(jié) 綜述

第二節(jié) 銀行面臨的八類風險評估 第三節(jié) 銀行風險管理水平評估 第四節(jié) 銀行整體風險綜合評估 第十七章 商業(yè)銀行風險評級 第一節(jié) 綜述

第二節(jié) ROCA評級體系各要素評估 第三節(jié) CAMELS評級體系各要素評估

第四節(jié) 壓力測試

第五節(jié) 風險預警 第六節(jié) 監(jiān)管措施

附件：現場檢查前問卷 后記

第二篇：銀監(jiān)會槍支彈藥現場檢查實施細則

中國銀監(jiān)會銀行業(yè)金融機構槍支、彈藥管理及使用情況現場檢查實施細則

根據《中國銀監(jiān)會辦公廳關于印發(fā) 2010 年兩項安全保衛(wèi)現場檢查方案的通知》（銀監(jiān)辦發(fā)[ 2010 ] 153 號）要求，特制定銀行業(yè)金融機構槍支、彈藥（以下簡稱槍彈）管理及使用情況現場檢查實施細則。

一、檢查目的

（一）摸清銀行業(yè)金融機構持有的槍彈底數，查找、分析存在問題和薄弱環(huán)節(jié)，準確把握銀行業(yè)金融機構在槍彈管理及使用中的總體情況。

（二）督促銀行業(yè)金融機構加強槍彈管理，規(guī)范槍彈使用流程，嚴防槍彈丟失、被盜（搶）及濫用槍彈事件的發(fā)生，保障公共安全，維護社會穩(wěn)定。

二、檢查對象和范圍

（一）所有持有槍彈的銀行業(yè)金融機構；

（二）銀行業(yè)金融機構持有的所有槍彈。

三、檢查內容及方法

（一）槍彈數量、槍支與 《槍證 》 是否一致，槍彈數量（含報廢或封存槍彈）是否賬實相符。檢查方法：核對槍支和 《 槍證 》，實地盤點槍彈數量。、報廢或封存槍彈未及時向公安機關繳銷的原因。

檢查方法：詢問被檢查的銀行業(yè)金融機構并要求提供相關證明文件或資料。

（二）槍彈保管

l、是否有專門的槍彈保管庫（室）或者專用保險柜，槍彈保管庫（室）出入口是否安裝防盜安全門、與 110 報警服務臺相連的緊急報警裝置和入侵報警裝置、監(jiān)控是否到位、有效。

檢查方法：實地察看，調閱監(jiān)控錄像。要點：“三鐵一器一監(jiān)控”:鐵窗、鐵門、鐵柜、報警、監(jiān)控、是否建立槍彈保管、領用制度，是否對槍彈實行集中統(tǒng)一保管、分開存放、實行雙人雙鎖和 24 小時值班（含遠程監(jiān)控值守）

檢查方法：實地察看，查閱有關制度、值班記錄和槍彈領用、繳回登記。

要點：雙人雙鎖；農信網點的槍彈管理常常存在鑰匙隨意存放的問題。3、是否對槍彈進行定期查驗和保養(yǎng)。檢查方法：查閱查驗維護記錄。

（三）槍彈使用

1、是否制定執(zhí)行守押任務中發(fā)生突發(fā)事件的處置預案。檢查方法：要求被檢查銀行業(yè)金融機構提供并查閱。、在執(zhí)行任務時，持槍人員是否隨身攜帶《 槍證 》、《 公務用槍持槍證）)

檢查方法：實地查驗或槍、證扎差核對。、持槍人員是否熟練掌握處置突發(fā)事件時的槍彈使用規(guī)定。檢查方法：隨機抽取持槍人員進行詢問。

（四）持槍人員管理、是否持有 《 公務用槍持槍證 》，證件是否在有效期內。檢查方法：查驗證件。

要點：證件過期常常原因在公安方面，如能提供相關已申請驗證的文件，可免責。

2、是否進行法制和安全教育，定期組織培訓。檢查方法：查閱教育或培訓記錄。

3、是否熟練掌握槍彈使用和保養(yǎng)技能。

檢查方法：隨機抽取持槍人員進行詢問或演示。

（五）“軟件”方面

1、是否簽訂槍支彈藥管理安全責任書。

2、是否簽訂槍彈庫消防安全責任書。

3、是否制定槍彈領用審核制度及領用登記制度。

4、是否制定槍彈被盜、被搶應急預案及報告制度。檢查方法：實地查驗。

四、現場檢查實施步驟

現場檢查按照以下步驟展開：

（一）下發(fā) 《 現場檢查通知書）)。

（二）現場檢查會談。召集被檢查的銀行業(yè)金融機構進行現場檢查會談，通報現場檢查的內容、方式，提出需要被檢查的銀行業(yè)金融機構配合的事項。現場檢查會談時，現場檢查人員應做好 《 現場檢查會談記錄 》，并由會談各方簽字。

（三）進入現場?，F場檢查時，應從檢查內容、發(fā)現的問題、評價和意見等三個方面認真記錄現場檢查工作底稿，對發(fā)現的問題，應及時制作 《 現場檢查事實確認書 》，并由被查機構地市級分支機構和法人機構負責人簽注意見。

（四）匯總檢查情況。檢查組按照機構類別匯總現場檢查情況，分別向被檢查轄區(qū)的法人機構下發(fā) 《 現場檢查事實與評價 》，通報檢查核實的事實與評價意見，并認真聽取被檢查的銀行業(yè)金融機構的反饋意見。

（五）出具檢查意見。根據 《 現場檢查事實與評價 》 和被檢查的銀行業(yè)金融機構的反饋意見，以省分行、法人、?。ㄖ陛犑校┞撋鐬閱挝?，向被檢查的銀行業(yè)金融機構下發(fā) 《 現場檢查意見書）)。

（六）上報檢查情況。形成現場檢查報告并附附件 1 一 2 上報銀監(jiān)會安全保衛(wèi)局匯總。

五、檢查要求

（一）本次現場檢查與 《 郵政儲蓄銀行、農村金融機構營業(yè)網點、業(yè)務庫安全情況現場檢查方案 》 同步實施。由于檢查涉及的營業(yè)網點多、地區(qū)跨度大，各檢查組要精心組織、周密部署，制定可行的現場檢查辦法，統(tǒng)籌安排檢查時間，合理配置監(jiān)管資源，切實提高現場檢查的效率和質量。

（二）在檢查中，為確保安全，現場檢查人員不得直接接觸各類槍彈，需要查驗槍彈的，由持槍人員操作，現場檢查人員監(jiān)督。

（三）各銀監(jiān)局要針對檢查中發(fā)現的問題和風險點，深入查找原因和管理漏洞，在查清、查實、查透的基礎上，從管理機制、制度建設等方面提出整改建議和要求，督促被查機構及時整改，切實加強槍彈管理。

（四）各銀監(jiān)局上報現場檢查報告應包括基本情況、總體評價、存在問題及成因分析、監(jiān)管建議等內容。

六、檢查依據

（一）《 中華人民共和國銀行業(yè)監(jiān)督管理法）);

（二）《 企業(yè)事業(yè)單位內部治安保衛(wèi)條例）);

（三）《 中華人民共和國槍支管理法）);

（四）《 公務用槍配備辦法 》（2002 年 8 月 28 日公安部重新發(fā)布）;

（五）《 中華人民共和國公安部、中國人民銀行關于銀行系統(tǒng)換裝防暴槍工作的通知 》

2（公治 〔 1999 〕 1389 號）

（六）《 中國銀監(jiān)會辦公廳關于進一步加強槍支管理工作的通知 》（銀監(jiān)辦通 〔 2008 〕 85 號）:

（七）《 專職守護押運人員槍支使用管理條例 》（中華人民共和國國務院令第 356 號）。

第三篇：中國銀監(jiān)會現場檢查暫行辦法

《中國銀監(jiān)會現場檢查暫行辦法》（2016年2月14日起施行）

中國銀監(jiān)會令 2015年第10號

《中國銀監(jiān)會現場檢查暫行辦法》已經中國銀監(jiān)會2015年第20次主席會議通過?，F予公布，自2016年2月14日起施行。

2015 年12月10日

中國銀監(jiān)會現場檢查暫行辦法

第一章 總 則

第一條 為加強對銀行業(yè)的監(jiān)督管理，規(guī)范現場檢查行為，提升現場檢查質效，促進銀行業(yè)健康發(fā)展，根據《中華人民共和國銀行業(yè)監(jiān)督管理法》、《中華人民共和國商業(yè)銀行法》等有關法律法規(guī)，制定本辦法。

第二條 本辦法所稱現場檢查，是指銀監(jiān)會及派出機構派出檢查人員在銀行業(yè)金融機構的經營管理場所以及其他相關場所，采取查閱、復制文件資料、采集數據信息、查看實物、外部調查、訪談、詢問、評估及測試等方式，對其公司治理、風險管理、內部控制、業(yè)務活動和風險狀況等情況進行監(jiān)督檢查的行為。第三條 現場檢查是銀監(jiān)會及派出機構監(jiān)管流程的重要組成部分，通過發(fā)揮查錯糾弊、校驗核實、評價指導、警示威懾等功能，督促銀行業(yè)金融機構貫徹落實國家宏觀政策及監(jiān)管政策，提高經營管理水平、合法穩(wěn)健經營，維護銀行業(yè)金融機構和體系安全，更好服務實體經濟發(fā)展。

第四條 銀監(jiān)會及派出機構開展現場檢查應依照法律、行政法規(guī)、規(guī)章和規(guī)范性文件確定的職責、權限和程序進行。

第五條 銀監(jiān)會及派出機構和實施現場檢查的人員（以下簡稱檢查人員）依法實施現場檢查，應當客觀公正，實事求是，忠誠履職，廉潔奉公，保守秘密。

銀監(jiān)會及派出機構應加強現場檢查紀律和廉政制度建設，加強對檢查人員廉潔從政情況的監(jiān)督。

第六條 銀監(jiān)會及派出機構依法開展現場檢查，被查機構及其工作人員應當配合，保證提供的有關文件資料真實、準確、完整、及時，不得拒絕、阻礙和隱瞞。檢查期間，被查機構應為現場檢查工作提供必要的辦公條件和工作保障。

被查機構及其工作人員未經銀監(jiān)會及派出機構同意，不得將檢查情況和相關信息向外透露。

第七條 本辦法所指現場檢查包括全面檢查、專項檢查、后續(xù)檢查、臨時檢查和稽核調查。

全面檢查是在一定周期內對法人機構公司治理、經營管理和業(yè)務活動及其風險狀況進行的全面性檢查，原則上每5年至少安 排一次。

專項檢查是對被查機構某些業(yè)務領域、區(qū)域進行的專門檢查。

后續(xù)檢查是對被查機構以往現場檢查中發(fā)現的重大問題整改落實情況進行的檢查。

臨時檢查是根據上級部門重大工作部署或針對銀行業(yè)金融機構的重大突發(fā)事件開展的檢查。

稽核調查是采用現場檢查方法對特定事項進行專門調查的活動。

第八條 銀監(jiān)會及派出機構應建立和完善現場檢查管理信息系統(tǒng)，實現檢查資源共享，提高現場檢查效率。

第九條 銀監(jiān)會及派出機構應嚴格按照法律法規(guī)規(guī)定的程序編制現場檢查項目經費預算，合規(guī)使用檢查費用。

第十條 銀監(jiān)會及派出機構應配備與承擔的檢查任務相適應的檢查力量，加強現場檢查專業(yè)人才培養(yǎng)，提升現場檢查水平，將現場檢查作為培養(yǎng)銀行業(yè)監(jiān)管隊伍和提高監(jiān)管能力的重要途徑。

第十一條 銀監(jiān)會及派出機構在現場檢查工作中應加強溝通協調，建立有效的現場檢查聯動機制。

第二章 職責分工 第十二條 銀監(jiān)會及派出機構按照“誰立項、誰組織、誰負責”的工作機制，開展現場檢查。

第十三條 銀監(jiān)會負責統(tǒng)籌全系統(tǒng)現場檢查工作，組織對全國性銀行業(yè)金融機構的現場檢查，組織全系統(tǒng)重大專項檢查、臨時檢查和稽核調查，對地方性法人機構的現場檢查進行統(tǒng)籌和指導，對派出機構的現場檢查工作進行考核和評價。

第十四條 各派出機構負責統(tǒng)籌轄內現場檢查工作，組織對轄內銀行業(yè)金融機構的現場檢查，組織全轄專項檢查、臨時檢查和稽核調查，完成上級部門部署的現場檢查任務，對下級部門的現場檢查工作進行指導、考核和評價。

第十五條 根據需要，銀監(jiān)會可對銀監(jiān)局或銀監(jiān)分局監(jiān)管的機構、銀監(jiān)局可對轄內銀監(jiān)分局監(jiān)管的機構直接開展現場檢查。

第十六條 銀監(jiān)會現場檢查部門負責現場檢查的歸口管理。銀監(jiān)會及派出機構承擔現場檢查職責的部門負責現場檢查立項，組織實施現場檢查，提出現場檢查處理意見，評估被查機構整改情況，就現場檢查情況及時與機構監(jiān)管、功能監(jiān)管等部門進行溝通。

銀監(jiān)會及派出機構的機構監(jiān)管、功能監(jiān)管等部門，根據自身職責，配合開展現場檢查工作，負責提出現場檢查立項建議，提供現場檢查所需的數據、資料和相關信息，并可根據需要開展有關的現場檢查，跟蹤檢查意見的整改情況。

第十七條 銀監(jiān)會及派出機構應加強與政府相關部門的工作 聯動，溝通檢查情況，依法共享檢查信息，必要時可聯合其他部門開展對銀行業(yè)金融機構相關業(yè)務領域的現場檢查。

第十八條 銀監(jiān)會及派出機構在開展跨境現場檢查時，應根據監(jiān)管備忘錄等合作協議的規(guī)定，加強與境外監(jiān)管機構的溝通協作。

第三章 立項管理

第十九條 銀監(jiān)會及派出機構應加強現場檢查立項管理，根據銀行業(yè)金融機構的依法合規(guī)情況、評級情況、風險狀況和以往檢查情況等，確定對其現場檢查的頻率、范圍，確保檢查項目科學、合理、可行。未經立項審批程序，不得開展現場檢查。

第二十條 銀監(jiān)會現場檢查部門應在征求機構監(jiān)管、功能監(jiān)管等部門以及各銀監(jiān)局意見基礎上，結合檢查資源情況，制定現場檢查計劃，報主席會議審議決定或由銀監(jiān)會主要負責人簽發(fā)。

第二十一條 銀監(jiān)會按制定現場檢查計劃，現場檢查計劃一經確定原則上不作更改。

列入計劃的個別項目確需調整的，應當說明調整意見及理由，每年中期集中調整一次。調整時，對于銀監(jiān)會負責的項目，應經銀監(jiān)會負責人審批；對于派出機構負責的項目，經銀監(jiān)局負責人審批同意后，應按要求向銀監(jiān)會現場檢查部門報告。第二十二條 經銀監(jiān)會或銀監(jiān)局主要負責人批準，銀監(jiān)會或銀監(jiān)局可立項開展臨時檢查。

各銀監(jiān)局應在臨時檢查立項后10個工作日內，將立項情況向上級部門報告。

第二十三條 稽核調查可納入現場檢查計劃，也可適用臨時檢查立項程序。

第四章 檢查實施

第二十四條 銀監(jiān)會及派出機構組織實施現場檢查可采取以下方式：

（一）由立項單位組織人員實施；

（二）由上級部門部署下級部門實施；

（三）對專業(yè)性強的領域，可要求銀行業(yè)金融機構選聘符合條件的第三方機構進行檢查，并將檢查結果報告監(jiān)管部門；

（四）采用符合法律法規(guī)及規(guī)章規(guī)定的其他方式實施。第二十五條 銀監(jiān)會及派出機構依法組織實施現場檢查時，檢查人員不得少于二人，并應當出示合法證件和檢查通知書。

檢查人員少于二人或未出示合法證件和檢查通知書的，銀行業(yè)金融機構有權拒絕檢查。

第二十六條 銀行業(yè)金融機構及相關人員存在不配合檢查、不如實反映情況或拒絕、阻礙檢查等行為的，銀監(jiān)會及派出機構 可根據情節(jié)輕重，對相關機構和個人依法采取監(jiān)督管理措施和行政處罰。

第二十七條 現場檢查人員執(zhí)行現場檢查任務時，應當保持應有的獨立性，存在影響或者可能影響依法公正履行職責情況的，應實行回避，不得參加相關事項的討論、審核和決定，不得以任何方式對相關事項施加影響。

被查機構認為檢查人員與其存在利害關系的，有權申請檢查人員回避。

第二十八條 銀監(jiān)會及派出機構應當在實施現場檢查前組成檢查組，根據檢查任務，合理配備檢查人員。

檢查組實行組長負責制。檢查組組長在檢查組成員中確定主查人，負責現場檢查工作的具體組織和實施。

第二十九條 檢查組根據檢查項目需要，開展查前調查，進行檢查分析和模型分析，制定檢查方案，做好查前培訓。

第三十條 檢查組應提前或進場時向被查機構發(fā)出書面檢查通知，組織召開進點會談，并向被查機構提出配合檢查工作的要求。同時由檢查組組長或負責人宣布現場檢查工作紀律和有關規(guī)定，告知被查機構對檢查人員履行監(jiān)管職責和執(zhí)行工作紀律、廉政紀律情況進行監(jiān)督。

第三十一條 檢查人員應按要求做好工作記錄、檢查取證、事實確認和問題定性。

第三十二條 檢查過程中，應加強質量控制，做到檢查事實 清楚、問題定性準確、責任認定明晰、定性依據充分、取證手續(xù)齊全。

第三十三條 檢查組可通過事實確認書、檢查事實與評價等方式就檢查過程中發(fā)現的問題與被查機構交換意見。

承擔現場檢查職責的部門與相關部門應加強對檢查情況的溝通。

第三十四條 檢查結束后，檢查組應制作現場檢查工作報告，并向被查機構出具現場檢查意見書。必要時，可將檢查意見告知被查機構的上級管理 部門或被查機構的董事會、監(jiān)事會、高級管理層或主要股東等。

第三十五條 檢查人員應當認真收集、整理檢查資料，將記錄檢查過程、反映檢查結果、證實檢查結論的各類文件、數據、資料等納入檢查檔案范圍。

第三十六條 稽核調查參照一般現場檢查程序，根據工作要求和實際情況，可以簡化流程，不收集證據，不與調查對象交換意見，不出具檢查工作報告和檢查意見書，以調查報告作為稽核調查的成果。

調查過程中如發(fā)現涉及需要采取監(jiān)管措施或行政處罰的事項，應當按照相關要求收集證據，并依程序進行處理。

第三十七條 對于有特殊需要的現場檢查項目，經檢查組組長確定，可適當簡化檢查程序，包括但不限于不進行查前培訓、不組織進點會談等。

第五章 檢查方式

第三十八條 檢查過程中，檢查人員可查閱文件和資料、查看經營管理場所、采集數據信息、測試有關系統(tǒng)設備設施、訪談或詢問相關人員，并可根據需要，收集原件、原物，進行復制、記錄、錄音、錄像、照相等。

對可能被轉移、隱匿或者毀損的文件、資料，經檢查組組長同意可以封存。

第三十九條 銀監(jiān)會及派出機構應持續(xù)完善檢查分析系統(tǒng)，充分運用信息技術手段，開展檢查分析，實施現場檢查，提高現場檢查質效。

銀行業(yè)金融機構應按照銀監(jiān)會及派出機構要求，完成檢查分析系統(tǒng)所需數據整理、報送等工作，保證相關數據的真實、準確、規(guī)范和及時。

第四十條 檢查人員可就檢查事項約談銀行業(yè)金融機構外聘審計機構人員，了解審計情況。

銀行業(yè)金融機構外聘審計機構時，應在相關合同或協議中明確外聘審計人員有配合銀監(jiān)會及派出機構檢查的責任。

第四十一條 檢查組可抽調被查機構內審人員參與現場檢查，被查機構應予以配合。必要時，可要求銀行業(yè)金融機構內審部門對特定項目進行檢查。內審部門應按照監(jiān)管要求實施檢查、形成報告報送監(jiān)管部門。銀監(jiān)會及派出機構應加強檢查指導，對檢查實行質量控制和評價。

第四十二條 檢查過程中，為查清事實，檢查組需向除被查機構以外的其他銀行業(yè)金融機構了解情況的，可要求相關機構予以配合。

經銀監(jiān)會現場檢查部門相關負責人批準，檢查人員可直接向相關銀行業(yè)金融機構了解情況，也可委托相關機構所在地銀監(jiān)局予以協助。

涉及跨銀監(jiān)局轄區(qū)的協查事項，經銀監(jiān)局相關負責人批準，可發(fā)函要求相關機構所在地銀監(jiān)局予以協助。銀監(jiān)局轄內的協查事項，由各銀監(jiān)局自行確定相關程序和要求。

協查人員負責調取相關資料，查明相關情況，檢查責任由檢查組承擔。

第四十三條 銀監(jiān)會及派出機構依法對銀行業(yè)金融機構進行檢查時，為了查清涉嫌違法行為，經設區(qū)的市一級以上銀行業(yè)監(jiān)督管理機構負責人批準，可以根據《中華人民共和國銀行業(yè)監(jiān)督管理法》的規(guī)定對相關單位和個人進行調查。

第四十四條 銀監(jiān)會及派出機構行使相關調查權應當符合以下條件：

（一）在檢查中已獲取銀行業(yè)金融機構或相關人員涉嫌違法的初步證據；

（二）相關調查權行使對象限于與涉嫌違法事項有關的單位 和個人。

第四十五條 與涉嫌違法事項有關的單位和個人包括與涉嫌違法行為有直接關系的民事主體，也包括沒有參與違法行為，但掌握違法行為情況的單位和個人。主要指：

（一）銀行業(yè)金融機構的股東、實際控制人、關聯企業(yè)和個人等；

（二）銀行業(yè)金融機構的客戶及其交易對手等；

（三）為銀行業(yè)金融機構提供產品和服務的企業(yè)、市場中介機構和專業(yè)人士等；

（四）通過協議、合作、關聯方關系等合法途徑擴大對銀行業(yè)金融機構的控制比例或鞏固其控制地位的自然人、法人或其他組織；

（五）其他與銀行業(yè)金融機構涉嫌違法事項有關的單位和個人。

第四十六條 開展相關調查時，調查人員不得少于二人，并應當出示合法證件和調查通知書。

調查人員少于二人或未出示合法證件和調查通知書的，有關單位或者個人有權拒絕調查。

第四十七條 開展相關調查時，調查人員可采取下列措施：

（一）詢問有關單位或者個人，要求其對有關情況作出說明；

（二）查閱、復制有關財務會計、財產權登記等文件、資料；

（三）對可能被轉移、隱匿、毀損或者偽造的文件資料，予 以先行登記保存。

第四十八條 調查人員依法開展相關調查時，被調查單位和個人應當配合，如實說明有關情況，并提供有關文件、資料，不得拒絕、阻礙和隱瞞。

阻礙銀監(jiān)會及派出機構工作人員依法執(zhí)行調查任務的，由銀監(jiān)會及派出機構提請公安機關依法給予治安管理處罰，構成犯罪的，依法追究刑事責任。

第六章 檢查處理

第四十九條 對于檢查中發(fā)現的問題，銀監(jiān)會及派出機構應在檢查意見書中責令被查機構限期改正。被查機構應在規(guī)定時間內，向決定作出機關提交整改報告。

第五十條 銀監(jiān)會及派出機構可將現場檢查情況通報被查機構的上級部門或主要股東，也可以與被查機構的董事、監(jiān)事、高級管理人員進行監(jiān)管談話，要求其就檢查發(fā)現的問題作出說明和承諾。

第五十一條 銀監(jiān)會及派出機構在檢查中發(fā)現被查機構存在違反法律法規(guī)、審慎經營規(guī)則情形的，應依法采取《中華人民共和國銀行業(yè)監(jiān)督管理法》規(guī)定的監(jiān)管措施。

第五十二條 銀監(jiān)會及派出機構在現場檢查中發(fā)現涉及行政處罰的違法違規(guī)行為的，應按照《中華人民共和國銀行業(yè)監(jiān)督管 理法》和《中國銀監(jiān)會行政處罰辦法》的規(guī)定辦理。

第五十三條 銀監(jiān)會及派出機構在現場檢查中發(fā)現銀行業(yè)金融機構及其工作人員、客戶以及其他相關組織、個人涉嫌犯罪的，應當根據銀監(jiān)會有關規(guī)定，依法向公安機關、人民檢察院等部門移送。

第五十四條 檢查結束后，承擔現場檢查職責的部門應將現場檢查意見書及時抄送機構監(jiān)管部門及其他相關部門。機構監(jiān)管部門應根據檢查意見，督促被查機構落實整改要求。必要時，可設立一定的整改觀察期。

第五十五條 承擔現場檢查職責的部門負責對被查機構整改情況進行評估。評估過程中，可查閱被查機構的整改報告、要求被查機構補充相關材料、約談被查機構相關人員、聽取機構監(jiān)管部門等相關部門意見，必要時可進行后續(xù)檢查。

第五十六條 被查機構未按要求整改的，銀監(jiān)會及派出機構可根據《中華人民共和國銀行業(yè)監(jiān)督管理法》規(guī)定采取監(jiān)管措施或進行行政處罰。

第五十七條 銀監(jiān)會及派出機構應當加強對檢查情況和整改情況的統(tǒng)計、分析，建立現場檢查信息反饋和共享機制，以及本次現場檢查與以往檢查結果、后續(xù)現場檢查部署的銜接和研判機制。

對于檢查中發(fā)現的普遍性、系統(tǒng)性風險和問題，應及時采取監(jiān)管通報、風險提示等措施。對于檢查中發(fā)現的監(jiān)管機制和制度存在的問題，應及時提出修訂和完善監(jiān)管機制與制度的建議。

第五十八條 銀監(jiān)會及派出機構應將現場檢查發(fā)現的情況和問題，在被查機構的監(jiān)管評級和風險評估中反映，必要時相應調整被查機構的監(jiān)管評級和風險評估，并在市場準入工作中予以參考。

第五十九條 銀監(jiān)會及派出機構有權按照相關規(guī)定，在一定范圍內披露檢查信息。

第七章 考核評價

第六十條 銀監(jiān)會及派出機構應建立現場檢查工作質量控制和考核評價機制，對檢查立項的科學性、檢查實施的合規(guī)性、檢查成果的有效性以及現場檢查人員的履職盡責情況等進行質量控制和考核評價。

第六十一條 銀監(jiān)會及派出機構應建立現場檢查正向激勵機制，對于檢查能力突出、查實重大違法違規(guī)問題、發(fā)現重大案件或重大風險隱患、挽回重大經濟損失的檢查人員，可給予表彰獎勵。

第六十二條 銀監(jiān)會及派出機構應當按照權責一致、寬嚴適度、教育與懲戒相結合的原則，完善現場檢查工作問責和免責機制。對于在現場檢查工作中不依法合規(guī)履職的，應在查清事實的 基礎上依照有關法律法規(guī)及銀監(jiān)會履職問責有關規(guī)定，對相關檢查人員予以問責。對于有證據表明檢查人員已履職盡責的，免除檢查人員的責任。

第六十三條 對于濫用職權、徇私舞弊、玩忽職守、泄露所知悉的被查機構商業(yè)秘密等嚴重違反現場檢查紀律的人員，依法給予行政處分；構成犯罪的，依法追究刑事責任。

第八章 附 則

第六十四條 銀監(jiān)會及派出機構根據日常監(jiān)管需要，開展的信訪舉報和投訴核查、行政處罰立案調查、監(jiān)管走訪、督查或調研等活動，不屬于本辦法規(guī)定的現場檢查。

第六十五條 本辦法所稱銀行業(yè)金融機構，包括： 在中華人民共和國境內依法設立的政策性銀行和商業(yè)銀行、農村信用社等吸收公眾存款的金融機構；

在中華人民共和國境內依法設立的金融資產管理公司、信托公司、企業(yè)集團財務公司、金融租賃公司以及經銀監(jiān)會及派出機構批準設立的其他非銀行金融機構；

經銀監(jiān)會及派出機構批準在境外設立的金融機構。第六十六條 銀監(jiān)會及派出機構可以根據自身職責，依照本辦法制定現場檢查規(guī)程和實施細則。

第六十七條 本辦法由銀監(jiān)會負責解釋。第六十八條 本辦法自2016年2月14日起施行。本辦法施行前有關規(guī)定與本辦法不一致的，以本辦法為準。

第四篇：銀監(jiān)會信息系統(tǒng)現場檢查指南

信息系統(tǒng)現場檢查指南（架構）

為了規(guī)范和指導信息系統(tǒng)現場檢查工作，提高信息系統(tǒng)現場檢查的水平，確保信息系統(tǒng) 現場檢查的質量，特制定本指南。

一、檢查目的

（一）了解和掌握銀行業(yè)金融機構信息系統(tǒng)管理組織體系、工作制和科技制度建設情況，以及從業(yè)人員有關業(yè)務、技術和安全培訓情況，評價其信息科技管理組織水平；

（二）了解和掌握銀行業(yè)金融機構信息安全保障體系和內部控制規(guī)程，信息系統(tǒng)風險管 理崗位責任制度和監(jiān)督落實情況，評價其計算機安全管理水平；

（三）了解和掌握銀行業(yè)金融機構信息系統(tǒng)在研發(fā)過程中項目管理和變更管理情況，關 注規(guī)劃、需求、分析、設計、編程、測試和投產以及外包等產生風險的環(huán)節(jié)，評價其管理水平；

（四）了解和掌握銀行業(yè)金融機構信息系統(tǒng)在信息系統(tǒng)運行和操作制度建設和執(zhí)行情況，促進銀行業(yè)金融機構完善內控環(huán)境，控制和化解操作風險；

（五）了解和掌握銀行業(yè)．金融機構信息系統(tǒng)在業(yè)務持續(xù)性計劃方面制度建設和執(zhí)行情 況，促進銀行業(yè)金融機構信息系統(tǒng)信息科技風險管理涵蓋管理、維護的每個環(huán)節(jié)。

二、檢查要點

（一）檢查信息系統(tǒng)風險管理架構、內部組織結構和工作機制、崗位職責和制度的完善 性和有效性，評估信息科技規(guī)劃和管理的水平，了解信息科技人才管理機制，分析業(yè)務、技 術和安全培訓工作的及時性和有效性，確保合理及時地防范和控制信息系統(tǒng)組織、規(guī)劃風險。

（二）檢查信息安全管理的流程情況，分析相關系統(tǒng)用戶管理制度、密碼管理制度及網 絡安全制度，測試系統(tǒng)所涉及操作系統(tǒng)和數據庫及防火墻等安全設施的安全性，評估被檢查 銀行是否采取有效安全的保護措施保障信息的保密性、完整性和可用性。

（三）檢查分析軟件及項目開發(fā)管理制度，了解信息科技部門檔案管理流程，審閱外包 項目涉及的軟件質量驗收標準，檢查銀行業(yè)金融機構信息系統(tǒng)風險管理效率及水平，評估系 統(tǒng)開發(fā)的流程、質量及安全的管理情況。

（四）檢查信息系統(tǒng)運行和操作管理情況，檢查系統(tǒng)監(jiān)控層面的處理流程及各類系統(tǒng)參 數、生產環(huán)境變更的受控方式，評估系統(tǒng)運行和操作管理的風險狀況，促進運行操作管理的 科學化、制度化和規(guī)范化，確保信息系統(tǒng)安全可靠的運行。

(五)檢查業(yè)務持續(xù)性規(guī)劃的制定情況，分析其是否明確定義了管理層關于維護信息系統(tǒng) 可用性及更新相關業(yè)務持續(xù)性計劃的責任和義務，并制定了合適的負責人員。評估建設及實 施關于災難恢復的組織機構、業(yè)務流程和應對措施的合理性。

三、檢查內容

（一）信息科技公司治理和組織結構 1．制度建設

（1）檢查銀行是否根據國家和銀監(jiān)會有關信息系統(tǒng)管理制度制定了實施細則，分析制 度制定、審批、修訂和發(fā)布等流程的規(guī)范性。

（2）檢查信息科技相關規(guī)章制度、技術規(guī)范、操作規(guī)程建設情況。重點檢查：各項制 度規(guī)章是否正式發(fā)文，內容是否涵蓋規(guī)劃、研發(fā)、建設、運行、維護、應急、外包、保密和 監(jiān)控等范疇，是否明確相關人員的職責權限并實行最小授權的制約機制，是否建立制訂后評 價程序或機制，現有的制度是否適應組織結構、業(yè)務管理、信息安全的需要。

（3）檢查實施知識產權保護情況。重點檢查：正版軟件版本管理情況；國產自有知識 產權的軟硬件的使用情況；信息化安全等級保護工作情況；自主知識產權信息化成果保護情 況。

2．組織結構

（1）檢查銀行業(yè)金融機構董事層、經理層的信息科技管理和風險管理組織架構。重點 檢查：

①科技管理、持續(xù)科技風險管理程序及就科技管理穩(wěn)健務實的手段、工作分工和職責； 負責信息系統(tǒng)的戰(zhàn)略規(guī)劃、重大項目和風險監(jiān)督管理的領導層面或決策機構及信息科技部門 的建設情況；信息科技風險管理職責的歸屬以及管理情況；公司董事會及其相關專業(yè)委員會、經營管理層對信息科技工作和信息風險管理的職責、分工是否明確。

②該銀行組織結構設計的戰(zhàn)略定位，組織結構的合理性是否符合風險管理的需要；董事 會和高管層面是否重視科技管理和信息科技規(guī)劃工作；了解董事會對信息科技所擔負的職 責，管理層如何發(fā)揮對信息科技的監(jiān)督和指導作用；辨析組織的靈活性以及角色與職責的清 晰程度，了解內部平衡監(jiān)督和放權的關系；分析對安全、質量和內部控制等的組織定位。

(2）檢查信息系統(tǒng)建設決策流程、總體策略制定和統(tǒng)籌項目建設的情況。重點檢查：信 息系統(tǒng)建設規(guī)劃中是否涵蓋信息安全、運行管理、業(yè)務持續(xù)性計劃等重要內容；評估近期、中期和遠期關于信息科技的重大策略和目標的合理性。著重從以下幾個方面了解：

①銀行如何利用信息科技技術更好地為企業(yè)創(chuàng)新服務，在進行信息科技治理時如何貫徹 “以組織戰(zhàn)略目標為中心’，的思想，確保信息科技資源與業(yè)務匹配；銀行的信息科技投資 是否與戰(zhàn)略目標相一致；是否合理配臵信息科技資源以實現面向服務的架構，核心業(yè)務系統(tǒng) 是否能滿足銀行變化的需求；業(yè)務流程如何整合信息科技流程，在關鍵戰(zhàn)略決策中信息科技 的融入程度，確保無信息孤島現象。

②信息科技規(guī)劃中如何更好的控制風險，包括控制業(yè)務風險和控制由信息科技使用帶來 的風險。是否在信息科技建設規(guī)劃每個環(huán)節(jié)考慮到風險因素，滿足銀行最低風險控制需要； 是否考慮到風險管理系統(tǒng)的建設，特別是滿足監(jiān)管當局的監(jiān)管需求；能否實現自動從業(yè)務或 風險系統(tǒng)中采集監(jiān)管數據，以提高銀行風險監(jiān)管能力。

③根據銀行信息科技現狀和信息科技規(guī)劃初步評估該行信息科技建設水平，比如可以按 信息資產規(guī)模分為落后型、發(fā)展型、追隨型和領先型。

（3）檢查高管層對本機構信息系統(tǒng)風險狀況的控制程度。重點檢查：是否定期組織內 部評估、審計、報告本機構信息系統(tǒng)風險狀況；針對存在的風險狀況是否采取相應的風險控 制措施，以及各項措施的卜具體內容環(huán)節(jié)、主要實施部門和評估結果；是否建立了對整改工 作的監(jiān)督機制。

（4）檢查科技管理隊伍、技術應用隊伍、風險管理隊伍的建設情況。重點檢查：人員 素質情況，包括科技管理、科技風險管理和技術人員的知識結構、年齡結構、專業(yè)結構；人 員在系統(tǒng)內的占比情況；內審部門是否有既懂科技又懂業(yè)務的審計人員，風險管理部門是否 有專職IT 人員和已獲得上崗證書的信息安全管理員；對信息科技人員的行為規(guī)范管理情況。（5)檢查科技隊伍培訓、激勵等管理機制的建設執(zhí)行情況。重點檢查：培訓規(guī)劃和歷史 記錄，包括職業(yè)培訓、崗前培訓情況，相關職責所需專業(yè)知識和技能的實際符合情況；分析 信息科技人員從應聘、錄用、培訓、評估、晉升到解雇的整個從業(yè)歷程是否合理、公平和透 明。

（二）信息安全管理 1.信息安全建設基本情況

（1)檢查內部科技風險管理機構對信息系統(tǒng)面臨的風險開展評估的情況。重點檢查：通 過調閱該機構安全領導小組成立（或調整）的文件，其他與計算機安全相關的會議記錄或文 件，了解該機構是否設立計算機信息系統(tǒng)安全領導小組并上報當地監(jiān)督部門，是否充分履行 有關計算機安全管理和監(jiān)督檢查職責。

（2）檢查服務承包商和提供商與相關法律、法規(guī)等的符合程度。重點檢查：通過調閱

該機構所有承包商和服務提供商的詳細資料和合同文本，確認所有承包商和服務提供商是否 符合法律法規(guī)要求，合同文本是否符合法律要求（如數據保護法規(guī)），是否明確各自的安全 責任，是否有確保業(yè)務資產的完整性和保密性的條款等。

（3)檢查信息安全處理的原則、目標和要求的制度建設的完備性。重點檢查：調閱與計 算機系統(tǒng)運行、安全保障和文檔管理等相關規(guī)章制度，其范圍除自行制定的制度還包括轉發(fā) 的上級文件，審計是否建立必要的計算機安全制度，審核各類制度的科學性、嚴密性和可操 作性。

2.邏輯訪問風險控制情況

（1)檢查訪問控制業(yè)務要求、策略要求和訪問規(guī)則的制訂情況。重點檢查：通過閱讀源 程序或第三方業(yè)務系統(tǒng)安全審計報告，確定該機構的業(yè)務系統(tǒng)是否制訂訪問控制的業(yè)務要 求、策略要求和訪問規(guī)則，并確定其安全性、完備性。

(2)檢查訪問用戶的注冊管理制度。重點檢查：是否制定了正式的用戶注冊和取消注冊 程序，規(guī)范對所有多用戶信息系統(tǒng)與服務的訪問授權。是否使用唯一用戶ID 使用戶對其操 作負責（組ID 只有適合所進行的工作，才允許使用），用戶離開組織時是否立即取消其用 戶ID，是否定期檢查并取消多余的用戶ID 和帳戶。

（3)檢查訪問用戶的權限管理和權限檢查流程。重點檢查：是否建立了正式的用戶的權 限管理和權限檢查程序，系統(tǒng)所有者對信息系統(tǒng)或服務授予的權限是否合適業(yè)務的開展，所 授予的訪問權限級別是否與組織的安全策略相一致，例如它會不會影響責任劃分；用戶因工 作變更或離開組織時是否立即取消其訪問權限；用戶權限設定是否采用雙人復核；是否對用 戶訪問權限分配進行定期檢查確保沒有對用戶授予非法權限。

（4）檢查訪問用戶的口令管理。重點檢查：是否采用了正式的管理程序來控制口令的 分配，是否確保一開始向他們提供一個安全的臨時口令并要求他們立即更改口令，用戶忘記 口令時是否在對該用戶進行適當的身份識別后才能向其提供臨時口令，是否還采用了其他的 用戶身份識別和驗證技術（如生物統(tǒng)計學中的指紋鑒定；建立新的用戶，是否建立了申請審 批程序，并采用雙人控制。

（5）檢查訪問用戶的責任管理。重點檢查：所有用戶是否做到避免在紙上記錄口令，只要有跡象表明系統(tǒng)或口令可能遭到破壞時是否立即更改口令，是否選用高質量的口令，是 否定期更改口令。

3.網絡安全控制情況

（1）檢查網絡管理和網絡服務的安全策略制定情況。重點檢查：通過調閱網絡建設文 檔或第三方網絡安全審計報告，確定該機構是否制定網絡和網絡服務的安全策略，并確定此 策略是否業(yè)務訪問控制策略相一致。

（2）檢查實施網絡控制的安全手段。重點檢查：通過調閱網絡建設文檔或第三方網絡 安全審計報告，確定該機構是否制定網絡控制的安全途徑，并確定實施控制的路徑的要求是 否是業(yè)務訪問控制策略所必要的，是否通過專線或專門電話號碼聯網，是否自動將端口連接 到指定應用系統(tǒng)或安全網關，是否限制個人用戶的菜單和子菜單選項，是否防止無限制的網 絡漫游，是否強制外部網絡用戶使用指定應用系統(tǒng)和／或安全網關，是否為組織內用戶組設 臵不同的邏輯域（如虛擬專用網）來限制網絡訪問。

（3)檢查外部連接的用戶身份驗證方法。重點檢查：是否通過使用加密技術、硬件標記 或問答協議對遠程用戶訪問進行身份驗證，對于專線用戶是否安裝了網絡用戶地址檢查工具 來對連接源提供安全保障，對撥號用戶是否使用反向撥叫程序和控制措施（如使用反向撥叫 調制解調器）可以防止與組織信息處理設施的非法連接和有害連接。

（4)檢查遠程診斷端口的保護情況。重點檢查：是否使用適當的安全機制（如密鑰鎖）對診斷端口進行保護，保證它們只能在計算機服務管理員和要求訪問的軟硬件支持人員進行

適當的安排后才能訪問。

（5）檢查網絡的劃分和路由控制情況。重點檢查：是否在網絡內采用一些控制措施把 信息服務組、用戶組和信息系統(tǒng)組分割成不同的邏輯網絡域（如組織的內部網絡域和外部網 絡域），每個域都使用一個明確的安全界限來加以保護，是否在兩個要互連的網絡之間安裝 一個安全網關可以實現這樣的一個安全界限，從而控制兩個域之間的訪問和信息流動，是否 對該網關配臵，訪問控制策略來阻止非法訪問。

4．環(huán)境風險情況

（1）檢查對保密設備和計算機機房進行安全保護的情況。重點檢查：是否為保密設備 和計算機機房劃分獨立安全區(qū)域，安全保護區(qū)的沒臵是否合理，是否建立全方位的安全防護，以防止有人未經授權進入安全區(qū)。

（2）檢查安全區(qū)出入的控制措施和制度制定執(zhí)行情況。重點檢查：通過查閱制度和各 類文字或電子臺帳，確定該機構是否有完備的安全區(qū)出入控制，是否經常審查并更新有關安 全區(qū)域訪問權限的規(guī)定，是否將安全區(qū)域的來訪者的身份、進入和離開安全區(qū)域的日期和時 間記錄在案，是否有嚴格限定，經過授權的人才能訪問敏感信息，是否有專人對出入控制措 施和制度的落實情況進行定期、不定期的檢查。

（3)檢查安全區(qū)內設備使用和維護管理情況。重點檢查：是否按專業(yè)標準安裝入侵檢測 系統(tǒng)對無人區(qū)域進行24 小時的報警監(jiān)視，由該機構自己管理的信息處理設備是否與由第三 方管理的信息處理設備分開，是否將危險或易燃材料存儲在安全的地方，與安全區(qū)保持安全 距離，應急設備和備份介質的存儲位臵與主安全區(qū)域是否保持一個安全距離，以防止主安全 區(qū)域發(fā)生的災難事件殃及這些設備。

（4）檢查安全區(qū)的防雷、電和火等安全措施實施情況。重點檢查：通過調閱相關檢測 報告維護記錄，確定安全區(qū)是非通過配臵不間斷電源設備、采用雙路供電系統(tǒng)、配備發(fā)電機 等手段保障不間斷性供電；其采用的各種方式是否能滿足業(yè)務系統(tǒng)不間斷供電需求，是否按 相關法規(guī)要求配備消防系統(tǒng)并保證其正常運行，是否安裝必要的防雷設施并按要求做好接地 系統(tǒng)。

5.操作系統(tǒng)風險情況

（I）檢查對登錄用戶和終端設備的訪問控制策略。重點檢查：核心業(yè)務系統(tǒng)用機的操 作系統(tǒng)是否能驗證每個合法用戶的終端或位臵，是否記錄成功和失敗的系統(tǒng)訪問，是否提供 適當的身份驗證方法，是否根據情況限制用戶連接時間。

（2）檢查用戶身份識別和驗證方法。重點檢查：所有操作系統(tǒng)用戶是否都有一個個人 專用的唯一標識符（用戶ID),以便操作能夠追溯到具體責任人，如業(yè)務系統(tǒng)必須可以為一 個用戶組或一項具體工作使用共享用戶ID，是否對此類進行嚴格的審批制度，并采用了相 應的控制措施，是否采用了先進安全的身份驗證程序并建立相關安全機制以防止非法登錄。(3）檢查系統(tǒng)的漏洞檢測和補丁安裝的情況。重點檢查：通過相應的漏洞檢測工具，確 定該機構是否操作系統(tǒng)的安全是否進行加固，是否安裝系統(tǒng)補丁與更新程序，是否關閉不必 要的服務和端口，是否安裝防病毒軟件，文件共享的訪問控制權限設臵是否適當，是否定期 為操作系統(tǒng)進行安全漏洞檢測，以分析系統(tǒng)的安全性，并采取補救措施。

(4)檢查事件的日志記錄和評審分析情況。重點檢查：是否啟用操作系統(tǒng)的審計功能和 安全策略，是否按要求存事件的日志記錄，是否確定專人定期進行安全評審分析，以查找非 授權的應用程序運行、非授權的共享、可疑程序和可疑進程，計算機時鐘設臵是否正確以保 證審計日志的準確性。

6.應用系統(tǒng)的風險情況

（1)檢查輸入和輸出數據的驗證情況。重點檢查：是否對應用系統(tǒng)的數據輸入進行驗證，應用系統(tǒng)的標準數據調整及帳務數據修改是否規(guī)范，是否定期審查關鍵字段或數據文件的內

容，確認其有效性和完整性，是否檢查硬拷貝輸入文檔是否有對輸入數據進行非法變更（所 有對輸入文檔的變更應經過授權），是否明確規(guī)定參與數據輸入過程的所有人員的責任。（2）檢查存儲數據的加密措施實施情況。重點檢查：是否對核心業(yè)務系統(tǒng)采取了相應 的加密措施，其加密措施是否合理，加密密鑰管理是否嚴格，中間業(yè)務和延伸業(yè)務的傳輸數 據是否加密，導入是否配有安全審計，是否對數據介質進行安全保護，對存有重要數據的故 障設備外修時是否有本單位人員在場監(jiān)督，設備報廢是否清除相關業(yè)務信息，對已過安全保 存期限的介質是否及時更新復制，廢棄的數據介質是否由專人及時銷毀。

（3）檢查測試數據的安全措施實施情況。重點檢查：通過調閱系統(tǒng)測試文檔，確定測 試數據是否避免使用包含個人信息的操作數據庫，如果使用這類信息，那么是否在使用前應 該做非個性化處理，在操作數據用于測試目的時，是否每次使用不同的授權，將操作信息復 制到測試應用系統(tǒng)，是否在測試完成后立即將操作信息從測試應用系統(tǒng)中清除，是否記錄操 作信息的復制和使用情況，以便提供審計追蹤。

（4）檢查源代碼的訪問控制和審查情況。重點檢查：是否將程序源庫保存在生產系統(tǒng) 上，為每一個應用程序指定一個庫保管員，信息科技支持人員是否可以不受限制地訪問程序 源庫，正在開發(fā)或維護的程序是否保留在操作程序源庫中，更新程序源庫和向程序員提供程 序源是否通過指定的庫保管員來執(zhí)行，并且獲得信息科技支持管理員的授權，程序清單是否 保存在安全的環(huán)境中，是否實時維護訪問程序程序庫的審計日志記錄，是否對舊版本的源程 序進行歸檔，明確指明使用創(chuàng)門操作的準確日期和時間及所有支持軟件、作業(yè)控制、數據定 義和過程，維護和復制程序源庫是否受嚴格的變更控制程序的約束。

（三）信息科技項目開發(fā)和變更管理 1.項目開發(fā)管理

（1)檢查被檢查機構在信息科技項目開發(fā)過程中組織、規(guī)劃、需求、分析、設計、編程、測試和投產等環(huán)節(jié)的全周期管理機制。重點檢查：制度建設是否對項目的審批流程、參與部 門的職責劃分、時間進度、財務預算規(guī)劃、質量檢測、風險評估等內容進行嚴格規(guī)定；外部 技術資源申請是否有統(tǒng)一負責機構，如何授權職能處室進行歸口管理。

（2）檢查信息系統(tǒng)項目開發(fā)資料完備性。重點檢查：系統(tǒng)項目建設是否成立項目工作 小組及其成員結構；系統(tǒng)建設項目需求說明書和項目功能說明書是否全面、系統(tǒng)；系統(tǒng)建設 完成后是否編寫了操作說明書，是否具有項目驗收報告；查閱被檢查機構對新信息系統(tǒng)投產 后，所撰寫后續(xù)評價，根據后續(xù)評價，檢查有沒有根據評價及時對系統(tǒng)功能進行調整和優(yōu)化。

2.項目變更管理

（1）檢查項目變更、系統(tǒng)升級和變更等環(huán)節(jié)的管理情況。重點檢查：信息系統(tǒng)變更時，是否制訂嚴密的變更處理流程，明確變更控制中各崗位的職責，遵循流程實施控制和管理； 變更前有否明確應急和回退方案；變更方案件、變更需求、軟件版本變更后的初始版本和所 有歷史版本是否妥善保管。

（2）檢查系統(tǒng)變更方案、變更內容核實清單等相關文檔的正確性、安全性和合法性。重點檢查：對被檢查機構系統(tǒng)升級和變更記錄，變更后軟件的初始版本和所有歷史版本是否 妥善保管；對保留所有歷史的變更內容核實清單進行核實；是否設定了獨立的版本管理人員 復核版本的提交工作。

3.項目資料文檔管理體系

重點檢查：項目資料是否完整詳盡，有無相應的檔案資料的管理辦法并執(zhí)行；是否對項 目資料文檔的管理情況進行定期審核，包括資料調閱、資料備份等；是否制定了項目資料文 檔格式的標準化規(guī)范并執(zhí)行。

4.系統(tǒng)設計開發(fā)外包缺陷管理

（1）檢查業(yè)務外包管理制度、業(yè)務外包評估制度的制定執(zhí)行情況。重點檢查：對有關

外包風險的防范方法及措施，是否建立外包業(yè)務的應急機制，有無外包業(yè)務的應急計劃和應 急預案。

（2)檢查針對有關業(yè)務外包制定相應的管理和風險防范措施的情況。重點檢查：是否建 立對承包方的評估機制；是否規(guī)定了代碼編寫規(guī)范和編碼質量檢查方案，從技術和編碼兩方 面對編碼進行全面檢查。

（3)檢查被檢查機構外包業(yè)務風險管理措施。重點檢查：是否建立針對外包風險的應急 計劃和預案，以確保在意外情況下能夠實現承包方的順利變更，保證外包服務不間斷；是否 組織業(yè)務人員進行外包開發(fā)系統(tǒng)的培訓以保障外包開發(fā)技術的移交工作。

（四）信息系統(tǒng)運行和操作管理 l．信息系統(tǒng)運行體系建設情況（1）運行體系的組織架構

檢查被檢查單位信息系統(tǒng)運行管理的組織架構和日常運作情況，對組織體系的科學性、合理性和運作的有效性作出評體。重點檢查：架構是否合理、組織是否嚴密、職責是否明確、監(jiān)督是否有力、管理是否有效，反應是否迅速、是否具有相互制約的機制等等。（2)運行體系的規(guī)劃與制度

檢查現有和計劃投產的信息系統(tǒng)的運行規(guī)劃的完備性。重點檢查：生產故障和安全事件 的管理、職能部門及其職責、管理對象、事件報告、事件解決、事件反饋、匯總、分析、評 價和報告等。檢查信息系統(tǒng)運行管理制度的完善性。重點檢查：事件管理辦法、問題管理辦 法、變更管理辦法、操作管理辦法、數據管理辦法、配臵管理辦法、安全管理辦法、機房管 理辦法等。這些制度可以是自行．制定的，也可以轉發(fā)上級的。重點審計制度的完整性、嚴 密性和可操作性，考察各項制度的貫徹、執(zhí)行和落實情況。

（3)檢查核心業(yè)務系統(tǒng)的持續(xù)性或階段性監(jiān)測情況。重點檢查：建立核心業(yè)務系統(tǒng)持續(xù) 性或階段性的監(jiān)測、監(jiān)控體系和系統(tǒng)性能的評估機制。

2.操作環(huán)境控制和預防性維護情況

（1)檢查信息科技資產登記情況。重點檢查：檢查信息科技資產臺帳是否包含完整和真 實的計算機資源配臵的靜態(tài)基本信息和動態(tài)履歷信息，是否做到帳帳相符、帳實相符，配臵 管理部門是否定期進行轄內計算機資源配臵臺帳的清查核對。

靜態(tài)基本信息包括：檔案卡序號、計算機資源編碼、型號、性能、具體配臵、、滿配能 力（如硬件的滿配能力、可擴充性，軟件的支持情況，配臵參數的極限等）、用途、使用部 門和使用責任人、維護責任部門和生產商、經銷商、服務商等；

動態(tài)履歷信息包括：計算機資源配臵在生命周期各階段經歷過的各種管理流程信息。其 中計劃制訂、設備采購、合同管理、庫房管理、安裝驗收、申領使用以及后面的調撥遷移、閑臵報廢以及計算機資源配臵的維護履歷、配臵履歷、包含操作時間、操作部門、操作用戶、具體操作及變更情況等信息。

（2）檢查信息系統(tǒng)性能和容量的管理情況。重點檢查：是否建立信息系統(tǒng)軟、硬件性 能、處理能力以及存儲容量等監(jiān)測和跟蹤措施，保證系統(tǒng)性能和容量有足夠的安全冗余，防 止應處理負荷過重或存儲容量不足影響信息系統(tǒng)安全、可靠運行；在給定的時間段內是否出 現過因上述原因造成重要業(yè)務系統(tǒng)停頓的情況以及相應的損失情況并完整記錄。

(3）檢查各類連接的物理位臵和交互關系的系統(tǒng)拓撲圖。重點檢查：連接信息系統(tǒng)所有 電子設備物理位臵和交互關系的系統(tǒng)拓撲圖與系統(tǒng)實際配臵信息、系統(tǒng)結構圖與物理布局的 一致性。

（4）檢查應急方案制定情況，重點檢查：重要信息系統(tǒng)應急方案，評估應急方案的科 學性、可操作性和實用性；模擬演練的記錄，重點檢查發(fā)現的問題和解決情況。

（5）檢查運行、操作環(huán)境建設情況。重點檢查：計算機房和網絡中心的建設、配臵是

否符合有關國家標準，是否設立了獨立的安全保護區(qū)，是否建立進入安全區(qū)的授權、登記制 度。安全防范和控制措施是否到位；重要和涉密設備是否臵于計算機房內，并具有嚴格的安 全防范和風險控制機制。

3.生產變更管理情況

（1)檢查準則和規(guī)章制度制定執(zhí)行情況。重點檢查：通過查閱有關文件和相應的制度，了解生產變更的管理情況，著重了解是否明確了變更的職能部門以及相應的職責；是否制定 了相關的制度；制度的內容是否含蓋了：變更申請、變更受理、變更方案、變更審批、變更 實施時間、變更實施、變更反饋和匯總、緊急變更、變更指標及評價、總結報告等關鍵內容 等等。

（2）檢查審批授權機制和工作流程規(guī)范性。重點檢查： ①生產變更的審批授權制度。生產變更是否按規(guī)定時間、要求報送審批部門審批或報備； 變更的實施是否得到授權；變更實施日期和時間是否符合制度規(guī)定等；對業(yè)務有可能造成影 響的變更，是否在變更實施前通知相關業(yè)務部門。

②工作流程。變更的工作流程是否合理、可行：是否貫穿變更申請一變更受理一變更方 案一變更審批一變更實施一變更反饋和匯總一變更指標及評價、總結報告等全過程，變更的 實施過程中是否嚴格按流程操作。

（3）檢查登記、備案和存檔情況。重點檢查：查閱生產變更的檔案，考察被檢查機構 變更資料的登記、備案和存檔是否規(guī)范。

（4）檢查非計劃性緊急變更的實施方案、備份和恢復制度。重點檢查：非計劃性緊急 變更實施前，變更牽頭和實施部門是否制訂簡單的實施計劃和驗證、回退、恢復方案，其中 回退或恢復方案是否切實可行，風險是否可控；變更實施前是否進行相關的系統(tǒng)備份等。

4.信息科技操作風險控制措施

（1)檢查風險控制機制和流程。重點檢查：

①是否指定了各類應用系統(tǒng)的操作、管理工作流程，評估其合理性、規(guī)范性和科學性，是否采用軟件工具對各類生產系統(tǒng)實施了版本控制。

②操作人員的崗位職責是否明確，相應的規(guī)章制度是否到位，如：檔案管理、安全生產 管理、數據管理、應用操作管理、運行監(jiān)控管理等等；

③操作人員在上崗前的培訓情況：如是否經考試合格后才獨立上崗；當信息系統(tǒng)結構或 操作流程發(fā)生重大變更時，是否及時對操作人員進行再培訓等；

④是否具備以下文字或電子資料：運行情況日報、各類運行操作手冊、緊急重大情況的 應急處理流程、操作人員排班表和工作交接單、詳細操作日志、所有服務對象和技術支持部 門及人員的通訊錄等；

⑤操作人員是否嚴格按照操作規(guī)程進行操作，如雙人、復核、授權等，是否建立操作日 志且真實記錄所有操作過程，并由本人簽字；操作人員有無違反操作規(guī)程的行為，如：擅自 變更操作方法和操作步驟、在生產環(huán)境做任何未經授權的操作、操作人員在操作完畢后或離 開操作終端前沒有退出自己的用戶等。

⑥運行管理和實施部門是否設臵固定的值班電話、傳真和電子信箱。⑦是否建立了操作人員的交接登記制度及實際履行情況記錄。⑧有關操作管理的檔案管理情況。

（2）檢查人力資源管理情況。重點檢查：有關運行、操作、管理人員配臵的整體情況，人力資源的有效利用和合理配臵程度，有關人員調離、崗位輪動的風險控制情況等。

（3)檢查信息資料檔案管理情況。重點檢查：有關科技文檔的收集、整理、移交、歸檔、保管、使用、鑒定和銷毀等是否符合相關規(guī)定，科技信息資料檔案管理是否規(guī)范。

5.日志管理情況

7（l）檢查日志采集情況。重點檢查：核心業(yè)務系統(tǒng)日志采集的范圍、內容、頻度、方 法以及有關規(guī)定的合理性及完備性，對日志內容設臵的完整性、科學性作出評估、分析與實 際系統(tǒng)運行和操作過程的匹配程度。

(2)檢查日志保存情況。重點檢查：有關日志歸檔、保存的有關規(guī)定以及紙質、電子日 志資料的保管情況，考察日志保存、管理的規(guī)范性和安全性等。

(3)檢查日志調閱制度。重點檢查：日志的調閱、查詢是否有嚴格的制度，調閱日志是 否經過必要的授權并進行如實的登記等。

(4)檢查日志管理崗位和人員設臵。重點檢查：檢查有關日志采集、保存、管理工作的 人員配臵等情況。

（五）業(yè)務持續(xù)性規(guī)劃

1.董事會和高管層在業(yè)務持續(xù)性規(guī)劃中的職責和工作機制情況

（1)檢查業(yè)務持續(xù)性規(guī)劃的政策、流程和職責制定情況。重點檢查：高級管理層建立業(yè) 務連續(xù)性規(guī)劃的相關政策、標準和流程的機制；高級管理層對業(yè)務持續(xù)性規(guī)劃的重視程度，及其在業(yè)務持續(xù)性規(guī)劃中的職責和作用。

（2）檢查業(yè)務持續(xù)性規(guī)劃的組織機構及職責制定情況。重點檢查：是否已建立業(yè)務持 續(xù)性規(guī)劃的各個組織機構，并明確其職責。業(yè)務持續(xù)性規(guī)劃的組織機構由管理、業(yè)務、技術 和行政后勤等人員組成，應分為災難恢復規(guī)劃領導小組,災難恢復規(guī)劃實施組和災難恢復規(guī) 劃日常運行組。

（3)檢查業(yè)務持續(xù)性規(guī)劃的報告機制。重點檢查：是否建立業(yè)務持續(xù)性管理相關事項的 報告制度，并及時向董事會和高級管理層報告實施狀況、事件、測試結果和相關行動計劃等 事項；是否出現過重大營運停止的事件并及時向銀監(jiān)會上報。

（4)檢查業(yè)務持續(xù)性規(guī)劃的評估機制。重點檢查：業(yè)務持續(xù)性管理是否經過獨立機構的 審查和評估，例如內部或外部審計，對業(yè)務連續(xù)性規(guī)劃的有效性進行定期評估；針對發(fā)現的 問題作出何種整改措施。

2.業(yè)務持續(xù)性規(guī)劃的制定和實施情況

（1)檢查業(yè)務持續(xù)性規(guī)劃的需求分析情況。重點檢查：是否進行充分的潛在風險分析； 對風險的可能性和危害性有否做全面的分析，并針對風險提出合理的防范措施。

（2）檢查業(yè)務持續(xù)性規(guī)劃策略的制定情況。重點檢查：是否進行充分的業(yè)務影響分析。業(yè)務影響分析是否包括了客戶、銀行人員、聲譽、內部運行以及財務和法律等方面的影響，應采用定量和／或定性的方法，對各種業(yè)務功能的中斷造成的影響進行評估；是否已確定 在災害發(fā)生時必須保證持續(xù)有效運行的重要業(yè)務部門和后臺部門，是否確定災害過程中 銀行對外提供重要服務的最低要求。

（3)檢查災難恢復應急預案的恢復策略和目標的建立情況。重點檢查：

1)關鍵業(yè)務功能及恢復的優(yōu)先順序、恢復計劃的時間進度表；

2)災難恢復時間范圍，即RTO（業(yè)務恢復時間目標）和RPO（業(yè)務恢復點目標）的范圍。確定每項關鍵業(yè)務功能的災難恢復目標和策略，不同的業(yè)務功能可采用不同的 災難恢復策略，也可采用同一套災難恢復策略。

（4)檢查災難恢復等級的劃分制定清況。重點檢查：是否已把災難恢復涉及資源分為7 個要素：數據備份系統(tǒng)、備用數據處理系統(tǒng)、備用網絡系統(tǒng)、備用基礎設施、技術支持能力、運行維護管理能力、災難恢復應急預案，并詳細說明各要素的具體要求。

（5)檢查災難恢復應急預案的執(zhí)行情況。重點檢查：是否已進行測試和演練，評估效果 如何。

3.備份中心的管理和操作情況

（1)檢查備份中心的建設情況。重點檢查：災備中心的能力否滿足其業(yè)務持續(xù)性規(guī)劃的

要求，著重從以下幾個方面進行了解：數據備份系統(tǒng)、備用數據處理系統(tǒng)、備用網絡系統(tǒng)、備用基礎設施、技術支持能力、運行維護管理能力。

（2）檢查備份中心能力。重點檢查：應確保省域以下數據中心至少實現數據備份異地 保存，省域數據中心至少實現異地數據實時備份，全國性數據中心實現異地災備。

（3)檢查外包備份中心的管理。重點檢查：對外包災備的管理是否到位。是否有充分的 資質證書和能力證明，金融機構如何考慮到對外包服務過分依賴導致的風險。

4．業(yè)務持續(xù)性規(guī)劃的測試和維護情況

（1）檢查業(yè)務持續(xù)性規(guī)劃培訓計劃的實施情況。重點檢查：是否已組織業(yè)務持續(xù)性規(guī) 劃的教育培訓工作。

（2）檢查業(yè)務持續(xù)性規(guī)劃測試的情況。重點檢查：測試方案和計劃、測試結果情況及 整改情況

（3）檢查變更維護情況。重點檢查：是否有良好的業(yè)務持續(xù)性規(guī)劃變更維護。業(yè)務流 程變化、信息系統(tǒng)的變更、人員的變更是否在業(yè)務持續(xù)性規(guī)劃中及時反映；預案在測試、演 練和災難發(fā)生后實際執(zhí)行時，其過程是否有詳細的記錄；是否對業(yè)務持續(xù)性規(guī)劃定期評審和 修訂。

（4）檢查業(yè)務持續(xù)性規(guī)劃文檔的存取管理制度制定情況。重點檢查： ①是否由專人負責保存與分發(fā)；

②是否具有多份拷貝在不同的地點保存；

③是否已分發(fā)給參與業(yè)務持續(xù)性規(guī)劃工作的所有人員；

④在每次修訂后是否將所有拷貝統(tǒng)一更新，并保留一套，以備查閱，原分發(fā)的舊版本應 予銷毀。

四．檢查依據

（一）資料調閱清單

1.信息科技公司治理和組織結構（1）信息系統(tǒng)風險自查報告

（2）金融機構信息系統(tǒng)管理建設情況問卷調查表（3）金融機構有關科技規(guī)劃、項目建設類制度；（4）有關崗位責任制；

（5）貫徹落實國家和銀監(jiān)會有關信息系統(tǒng)管理制度的實施細則；（6）行長會議研究科技工作會議記錄；（7）全行性科技工作會議記錄；（8）科技培訓記錄；（9）公司章程；

（10）董事會及各科技信息相關專業(yè)委員會職責和工作制度（11）董事會有關科技信息工作和系統(tǒng)建設的會議記錄 2.信息安全管理

（1）有關信息安全的組織及工作制度；

（2）審計部門或發(fā)現控制部門對信息資產風險評估報告；（3）對外承包或服務提供商的有關合約；（4）訪問風險控制策略和規(guī)則的業(yè)務說明；（5）訪問用戶的安全策略及管理；

（6）重要操作系統(tǒng)的訪問、漏洞掃描和日志時間記錄及評審；（7）應用系統(tǒng)用戶訪問、數據存儲和文件存放的安全設計文檔；（8）控制環(huán)境風險的規(guī)章制度和具體措施；

3.信息科技項目開發(fā)和變更管理（1）檢查行內不科技信息管理制度（2）項目驗收報告

（3）產品測試記錄及有關報告材料（4）項目需求說明書（5）項目驗收報告

（6）系統(tǒng)修改或升級或變更記錄

（7）系統(tǒng)外包風險評估報告或有關材料（8）業(yè)務外包協議、合同（9）外包風險的應急計劃 4.信息系統(tǒng)運行和操作管理

（1）運行管理組織成立和有關人員任命的文件集相關會議記錄等材料；（2）重要信息系統(tǒng)運行規(guī)劃書；

（3）有關信息系統(tǒng)運行管理的各項規(guī)章制度、實施細則及上級機構的規(guī)范性文件等；（4）信息資產臺帳（包括：軟件、硬件配臵資料、系統(tǒng)拓撲圖等）；（5）重要信息系統(tǒng)的應急方案；

（6）系統(tǒng)運行日志、機房出入激勵、運行管理部門值班記錄等； 5.業(yè)務持續(xù)性規(guī)劃

（1）管理章程（包括負責部門、策略及流程等）（2）各組織和小組人員名單（3）外部評估報告（4）報告

（5）風險和業(yè)務影響分析報告（6）災難恢復策略和等級（7）災難恢復應急預案（8）備份中心管理制度（9）備份中心建設目標（10）培訓方案

（11）測試方案及測試報告（12）變更文檔（13）外包情況說明

（二）檢查應用規(guī)章制度

（1）《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》（2）《金融機構計算機信息系統(tǒng)安全保護條例》（3）《國家計算機信息安全保護條例》（4）《電子銀行業(yè)務管理辦法》（5）《電子銀行安全評估指引》

（6）《電子銀行業(yè)務的風險管理原則》（7）《網上銀行銀行業(yè)務管理辦法》（8）《重要信息系統(tǒng)災難恢復指南》（9）《保證業(yè)務持續(xù)性的高標準原則》（10）《國家突發(fā)公共事件總體應急預案》

（11）金融機構自行制定的科技管理、開發(fā)、運行、安全、保密、外包等規(guī)章制度__ 10

第五篇：商業(yè)銀行的非現場檢查淺談

第八講：對商業(yè)銀行的非現場檢查

郭靂

【學科分類】經濟法 【出處】金融法苑 【寫作年份】2002年

【正文】

非現場檢查是指金融監(jiān)管機關通過對金融機構定期提供的各種財務報表、統(tǒng)計報表等有關資料，依法進行全面的整理分析，以了解金融機構的業(yè)務經營，掌握金融政策的貫徹落實情況和金融市場的變化狀況，及時有效地把握反饋信息，進一步調整、改進政策方針，使金融機構的運作符合宏觀經濟發(fā)展的要求。

本世紀70年代以來，對金融機構，特別是商業(yè)銀行的非現場檢查受到各國重視并被廣泛采用，有著其必要性和可能性。首先，規(guī)模龐大、體系復雜的金融機構大量涌現，令監(jiān)管當局原有的現場檢查應接不暇，然而要增加雇員、添置設備必然引起監(jiān)管成本的上升；況且“蜻蜓點水”式的現場檢查往往流于形式，無法真正發(fā)現問題，更不要說加以解決了。其次，數據通訊、處理技術的革新，顯著地降低了信息傳遞、處理的成本，為非現場檢查的實施提供了技術支持。這樣一來，監(jiān)管人員就無需再事倍功半地在金融機構間疲于奔命，而可以氣定神閑地按動鼠標，在自己的辦公室里進行監(jiān)控，有的放矢地開展工作了。

一、非現場檢查的法律依據和內容

先來看看發(fā)達國家的情況：日本銀行規(guī)定，在其開戶的金融機構必須定期提供有關財務報表，以反映其經營、財務、損益、資產負債比例等情況。根據提交的報表資料，日本銀行按安全性、盈利性、流動性原則，重點分析銀行資產的流動性及銀行的整體經營活動，如銀行經營策略、適應金融自由化的措施、新業(yè)務的開辟及資產負債表外交易、為達到資本充足性標準所采取的措施等。此外，日本央行還要監(jiān)控被檢查銀行是否能夠實施有效的風險管理，借此準確判斷銀行整體經營狀況，及時發(fā)出預警信號，采取必要的糾正措施。

我國引入非現場檢查的時間不長，這其中既有客觀原因，如商業(yè)銀行的數量較少，對非現場檢查的需求不足；金融電子化的水平較低，無法充分滿足技術上的要求等等。同時也有主觀原因，如監(jiān)管風格趨向保守，對新生事物不夠敏感。不過，進入90年代，非現場檢查在我國仍有長足的發(fā)展?！渡虡I(yè)銀行法》第61條規(guī)定：“商業(yè)銀行應當定期向中國人民銀行報送資產負債表、損益表以及其他財務會計報表和資料?！币源藶橐罁袊嗣胥y行在1995年4月5日發(fā)布的《非現場稽核監(jiān)督暫行規(guī)定》（銀發(fā) [1995]]95號，以下簡稱為《暫行規(guī)定》）中對非現場檢查進行了比較具體的規(guī)范。

《暫行規(guī)定》強調，商業(yè)銀行應按照中國人民銀行的要求，定期報送有關業(yè)務經營情況的資料，中國人民銀行按規(guī)定程序對金融機構報送的資料進行審核、整理、分析，寫出稽核報告，對于發(fā)現的違規(guī)現象或經營不善問題，經質詢、核實后作出稽核結論和處理決定。由此可見，我國非現場檢查的執(zhí)行機關是中國人民銀行及其分支機構，而作為監(jiān)管對象的商業(yè)銀行包括依法設立的中資、外資和合資銀行。此外，《暫行規(guī)定》還指明了非現場檢查應適用的原則，即全國統(tǒng)一組織領導、統(tǒng)一管理、統(tǒng)一監(jiān)督內容、統(tǒng)一監(jiān)測指標以及分級監(jiān)控。

有關非現場檢查的內容，各國大都將其分為合規(guī)性檢查和風險性檢查兩部分。前者主要是檢查商業(yè)銀行業(yè)務經營是否符合法律法規(guī)和金融政策的要求，強調更多的是“合規(guī)性”，所以商業(yè)銀行經營中的潛在風險及是否穩(wěn)健安全不是其考慮的重點。風險性檢查則旨在通過檢查，觀察商業(yè)銀行的經營管理及其業(yè)務活動是否在合理的風險范圍之內，在此基礎上確認經營風險所在，并督促商業(yè)銀行制定出控制風險的措施和辦法，從而避免商業(yè)銀行承擔過大的風險而導致經營失敗，確保金融業(yè)的謹慎穩(wěn)健經營。

我國的非現場檢查也遵循了以上的分類原則，其中對合規(guī)性的檢查包括：

（一）信貸規(guī)模、限額及資產負債比例的執(zhí)行情況；

（二）同業(yè)拆借情況；

（三）向人民銀行繳存存款準備金和財政性存款的情況；

（四）其它合規(guī)性內容。風險性檢查的要素則是：

（一）資本充足性；

（二）資產質量；

（三）資產流動性；

（四）盈利狀況；

（五）經營管理水平。

二、非現場檢查的資料報送和程序規(guī)定

非現場檢查能否成功實現，關鍵是看有無廣泛、真實的資料來源，因此嚴格遵守檢查制度，及時、準確地填制、報送有關報表材料成為各國對非現場檢查的共同要求。我國商業(yè)銀行應按規(guī)定的時間、內容和方式向央行報送下列材料：會計月計表或業(yè)務狀況表、資產負債表、損益表、非現場稽核監(jiān)督補充報表以及其它有關資料和文字情況說明。

通過審核會計月計表或業(yè)務狀況表，央行可以掌握商業(yè)銀行內資金來源和運用情況以及各項流動資金的增減變動情況。資產負債表則反映商業(yè)銀行各項資產、負債和所有者權益的增減變動以及各項目之間的相互關系，可據此檢查資產負債結構是否合理，考核各項資金計劃的執(zhí)行情況，為分析各項銀行業(yè)務，預測發(fā)展前景提供數據和信息。記錄會計期間內收入、支出、凈收益（或虧損）的損益表，是總結和反映全年營業(yè)收入、管理費用，營業(yè)外收支及利潤等情況的重要資料，央行可以通過對它的審查，比較收支、考核財務計劃的執(zhí)行情況，分析出盈虧變化的原因。

一些國家的法律對商業(yè)銀行資料報送提出了更高的要求。如美國聯儲規(guī)定須提交的報表還包括：反映資產負債表特別項目的有關附表，如存貸款明細表、逾期貸款明細表等；資產負債表上未能反映的報表，如表外項目明細表；有關特別經營的報告，如各項存貸款統(tǒng)計報告、內部借貸統(tǒng)計報告、信托業(yè)務統(tǒng)計報告、消費信用統(tǒng)計報告、現金交易統(tǒng)計報告等。

在我國，根據《暫行規(guī)定》，報表資料可以采取直接報送報表、報送計算機存儲介質或進行數據通訊等方式傳遞。為確保有關材料真實、充分，除商業(yè)銀行應對其報送資料的完整性、真實性和準確性負責外，央行有權要求受檢銀行提供由外部審計機構出具的審計證明，也有權直接對這些材料的真實性進行核查。

非現場檢查的程序可分為以下五個階段：

（一）資料收集審查階段。人民銀行總行及其分行收到被檢查單位報來的資料后，對其完整性、真實性、準確性進行審查，必要時還可到現場予以核實。

（二）計算整理階段。對被檢查單位報送的資料進行計算、整理，制成非現場稽核監(jiān)督表。

（三）分析質詢階段。對計算處理得出的結果進行分析，對被檢查單位經營管理上存在和可能發(fā)生的問題，提出質詢，被檢查單位應按規(guī)定時間和方式對質詢事項作出說明，并提供有關資料。通常所采用的分析方法主要有趨勢分析法和對比分析法，前者是對同一銀行不同時期的比率分析比較，以觀察一定時期該項比率的變化趨勢；后者則是利用不同銀行間的資本充足程度、資產質量、收益及流動資金等方面的對比，衡量經營水平，判斷風險狀況。

（四）報告處理階段。即根據非現場檢查的結果，按有關規(guī)定寫出非現場稽核監(jiān)督報告，并按規(guī)定對被檢查單位做出稽核結論，必要時可作出處理決定，監(jiān)督被檢查單位執(zhí)行。

（五）信息反饋階段。中國人民銀行各級稽核監(jiān)督部門應及時將稽核結論、處理決定和其它有關分析報告向本行行長和上級行稽核監(jiān)督部門報告，對非現場檢查中發(fā)現的重大問題，要寫出專題報告，提出采取的措施、意見和建議，必要時，中國人民銀行可向社會公布非現場檢查的結果。

三、與現場檢查的比較及我國在非現場檢查中存在的問題

通過以上的介紹，我們不難看出：與現場檢查相比，非現場檢查具有這樣一些優(yōu)點。首先，低成本、高效率。盡管非現場檢查系統(tǒng)建構之初可能需要較大的投入，以更新設備、培訓人員，但一旦進入正常運作階段，其在人力、物力上的耗費要比現場檢查小得多。因此從整體而言，非現場檢查顯得更為經濟，也更符合未來社會以電腦代替人腦處理數據，以信息流代替實物流實現溝通的發(fā)展趨勢，同時有助于推動監(jiān)管技術的進步和監(jiān)管思維的更新。其次，非現場檢查有著很強的及時性、準確性、連續(xù)性和全面性的特點，金融監(jiān)管機關可以籍此對商業(yè)銀行實施有效的經常性監(jiān)管，特別是對于風險性的監(jiān)管。此外，非現場檢查數字傳遞、微機處理的工作模式在一定程度上保證了檢查結論的客觀性，更好地體現了金融監(jiān)管公正獨立的原則，有利于遏制監(jiān)管者與被監(jiān)管者之間腐敗現象的產生。

當然，任何人、任何事物、任何制度，都無法做到十全十美，非現場檢查再一次證明了這個顛撲不破的真理。在實踐的過程中，人們逐漸認識到這種監(jiān)管方式的兩大缺點。第一，單純依靠靜態(tài)數據資料，只能分析問題的表面，很難揭示問題深層次的內容。畢竟，紛繁復雜的現實不能為簡單的“1、2、3、4、??”或者“Yes or No”所全部涵蓋，再出色的計算機語言也無法精確地描繪我們身處的多彩世界，更何況這里所談的又是其中最為攝人心魄的部分——金融。要想全面地把握商業(yè)銀行的運營情況，僅僅依靠其自己報送的若干數據資料是遠遠不夠的。第二，在非現場檢查中，如果不能輔之以一些直接的查、訪、問，對有些問題就難于取證、定性，從而影響到檢查的效果。盡管金融監(jiān)管當局對不按規(guī)定報送資料及報送材料虛假不實規(guī)定了嚴厲的罰則，但仍無法從根本上杜絕那些因膽大妄為或是心存僥幸而企圖瞞天過海的行為，況且商業(yè)銀行面臨的形形色色的風險也并非全都能反映在央行所規(guī)定的那幾個報表中。

不難看出，非現場檢查與現場檢查的關系絕不是非此即彼、相互排斥，而應是你中有我、彼此配合。非現場檢查可以用來彌補因現場檢查不易頻繁進行而造成的監(jiān)管真空；而現場檢查又能對在非現場檢查中暴露出的問題展開深入的調查。作為金融監(jiān)管者的“雙手”，兩者缺一不可，取長補短方能相得益彰。

聯系我國金融監(jiān)管的實際，首要的問題是對非現場檢查的重視程度不夠。長期以來，央行在監(jiān)管中更多地是強調合規(guī)性，在監(jiān)管方式的選擇上也傾向于現場檢查（現場檢查作為傳統(tǒng)方式也是形成央行偏好的原因之一）。應當說，這種狀況在一定程度上是國情使然，我國商業(yè)銀行在經營中大量存在著帳外經營、變相拆借資金等違規(guī)活動，決定了規(guī)范銀行行為的必要性；合規(guī)性檢查作為監(jiān)管重點本無可厚非，但如果因此而放松乃至放棄風險性監(jiān)管，就實在是顧此失彼，大錯特錯了。風險性監(jiān)管所具有的及早發(fā)現風險、及時預防控制風險的功能在金融業(yè)務日趨復雜、競爭日趨激烈、風險日趨多變的情況下，已為許多國家所認識，亞洲金融風暴中東南亞各國在這方面的教訓更令人觸目驚心。因此，為保證商業(yè)銀行穩(wěn)健、安全、高效運營，保障金融業(yè)的穩(wěn)定，我國必須高度重視風險性監(jiān)管，同時也應高度重視作為其重要監(jiān)管手段的非現場檢查。

其次，我國立法就非現場檢查的規(guī)定仍不夠嚴密，如對于境外中資金融機構，非現場檢查如何操作等問題，就有必要針對各自特點，結合實際情況給予較為詳盡的指示。另外，可否參照適用巴塞爾銀行監(jiān)督委員會公布的《對國際銀行及其跨國機構監(jiān)管的最低標準》、《關于銀行海外機構的監(jiān)管原則》，也應加以明確。

此外，實踐中大量存在的商業(yè)銀行報送不及時、報表不規(guī)范的情況也阻礙著非現場檢查作用的發(fā)揮，需要我們引起注意并加以改正。

現場檢查也好，非現場檢查也好，都只是金融監(jiān)管的手段，而金融監(jiān)管本身說到底也不過是一種手段，其所要達到的目的是使金融機構將外界壓力轉化為內在動力，由被動到主動地遵守“游戲”規(guī)則，防范金融風險。如果商業(yè)銀行不具備這樣的素質，缺乏這種意識，則無論現場檢查多么頻繁，非現場檢查多么嚴格，也只能是事與愿違。反過來說，好制度所產生的正效應同樣難以估量，這兩種檢查方式如果運用得當，則無疑將會對金融乃至整個經濟的穩(wěn)定和發(fā)展產生極大的促進作用。從自發(fā)到自覺，從他律到自律，永遠追求更高的境界，人如此，社會亦應如此。