01
村镇银行事件背景
2022年7月10日许昌市公安局的警情通报:“…2011年以来,以犯罪嫌疑人吕奕为首的犯罪团伙通过河南新财富集团等公司,以关联持股、交叉持股、增资扩股、操控银行高管等手段,实际控制禹州新民生等几家村镇银行,利用第三方互联网金融平台和该犯罪团伙设立的君正智达科技有限公司开发的自营平台及一批资金掮客进行揽储和推销金融产品,以虚构贷款等方式非法转移资金,专门设立宸钰信息技术有限公司删改数据、屏蔽瞒报…”
2022年7月18日据中国银行保险报报道,公安机关已初步查明河南安徽5家村镇银行案件主要事实,河南新财富集团操纵河南、安徽5家村镇银行,通过内外勾结、利用第三方平台以及资金掮客等方式非法吸收并占有公众资金,篡改原始业务数据,掩盖非法行为。该案件中村镇银行通过三方平台以及微信小程序,大量异地揽储,资金高达400亿元,其中线上揽储约300亿,而线下储户资金有100亿。
从这次银行事件的初步调查结果来看,其发生的根源是由于这几家村镇银行高管股东互相勾结,用符合银保监规定的流程手续,做了一套假的系统,跟第三方公司搞了个不入真账的平台,以达到非法吸收并占有公众资金的目的。本次事件中涉事的储户之多,金额之大,都是前所未有的,引起了社会各界的震动和对村镇银行金融安全的思考。
此次事件不仅暴露了银行内部管理及外部监管等方面的巨大漏洞,而且金融科技管理方面的缺陷也对此事件发展起到了推波助澜的作用。本文从村镇银行的金融科技安全的角度来看村镇银行如何来进行金融科技风险管理。
02
村镇银行金融科技的发展现状
村镇银行是在农村地区设立的主要为当地农民、农业和农村经济发展提供金融服务的银行业金融机构,近几年村镇银行在国家的鼓励下快速发展,有效地填补了农村地区金融服务的空白,增加了农村地区的金融支持力度,并在互联网、大数据等新技术下在互联网发展背景下不断扩大业务规模和丰富业务内容。
2.1 中国村镇银行发展背景
2006年,为解决农村地区银行业金融机构网点覆盖率低、金融供给不足、竞争不充分等问题,银监会放宽了农村银行业金融机构的准入政策,2006年12月发布了《中国银行业监督管理委员会关于调整放宽农村地区银行业金融机构准入政策更好支持社会主义新农村建设的若干意见》,内容包括调整放宽农村地区银行业金融机构准入政策,鼓励在县(市)设立村镇银行。
国内村镇银行试点在2006年12月启动,2007年3月首批村镇银行在国内6个首批试点省诞生。银保监会数据显示,截至(2020年6月30日),全国已组建1633家村镇银行,截至2021年末,我国村镇银行法人机构数量达到1649家,占全国银行业金融机构总数的36%左右。
村镇银行的发展促进了农村地区形成投资多元、种类多样的银行业金融服务体系,更好地改进和加强农村金融服务。村镇银行为我国县域经济的发展贡献了重要的力量,是我国农村金融的重要参与者之一。
2.2 村镇银行的信息化建设现状
村镇银行当前的信息化建设在一定程度上支撑了目前的业务发展,但依然存在以下突出问题:系统功能简单,外购系统无自主开发权,业务发展受限;科技力量薄弱,系统运维管理不规范,出现系统问题由外部公司技术人员远程支持;业务数据管理不规范,应急灾备与业务连续性管理普通缺失;风险管控薄弱,存在很大安全隐患,很多业务相关数据不能在线监测,不利于管理行和监管部门及时准确地掌握其实际经营情况等。
与国有商业银行和股份制商业银行相比,信息科技资金投入有限,科技人才力量薄弱,自主开发与运维能力不足,已成为村镇银行信息化建设面临的最突出问题,也埋下了诸多科技风险的隐患。
2.3 村镇银行面临新技术新业务的挑战
随着金融信息化的成长与发展,金融科技为传统金融带来了新思路、新动力,引起了传统金融经营模式、盈利模式、服务模式等变化。金融科技同样也给村镇银行的业务创新带来了“弯道超车”的机会。例如,村镇银行可以利用互联网渠道拓展业务,降低运营成本。村镇银行利用金融科技转型的形式主要包括直销银行、网上银行、第三方平台、公众号、小程序等。
相较于国有行和股份行在金融科技领域的大手笔投入,绝大部分村镇银行受资本、人才和业务规模的限制,难以独立研发适用的金融科技系统,即便是购买了现成的创新类应用系统,由于缺乏相关金融科技人才,也很难高效地利用起来。因此,村镇银行在本身信息科技能力先天不足的情况下,又要面对同业在金融科技领域的竞争,被迫面临许多新的挑战与风险。
03
村镇银行面临的金融科技风险
据央行统计,截至2021年第二季度,共有122家村镇银行为高风险机构,占全部高风险机构的29%左右。村镇银行的金融科技风险包括自身固有风险和常见信息科技风险。
3.1 村镇银行自身固有风险
村镇银行由于其自身的特点,容易导致由于门槛较低带来的准入风险,由互联网平台合作带来的业务安全风险,以及由于外包带来的IT外包安全风险等固有风险。
村镇银行门槛较低带来的准入风险
2007年中国银行业监督管理委员印发《村镇银行管理暂行规定》,在地、县(市)、在乡(镇)设立的村镇银行,其注册资本为不低于人民币5000万、300万和100万元人民币。
因为相比传统银行业来说,村镇银行较低的准入门槛,增加了金融机构关联持股、交叉持股、增资扩股、操控银行高管的固有风险。极低的参与门槛,让不怀好意的人能轻易地拿到“银行”的招牌,这也是本次事件乱象背后的深层次原因之一。
与第三方互联网平台合作带来的业务风险
2019年开始,注重互联网营销的第三方平台的产品逐渐成熟,村镇银行由于业务扩张的需求,一般都会通过互联网与众多第三方平台对接,获得巨大的入口流量,以开展揽储业务,吸收更多的公众存款。特别是在2021年央行和银保监会叫停了互联网存款业务后,许多小银行包括村镇银行为了保留已有客户和业务发展,纷纷将已有客户引流到自己的小程序、公众号或者银行APP,以继续提供银行存款服务,促使了小程序、公众号或者银行APP用户群体的快速发展和壮大。
但是这种多方合作往往存在平台交易流程不透明、交易过程信息不对称等问题,从而带来交易过程出现问题难以快速解决而导致业务风险,并且由于互联网平台的加入,将使这种原属于小型村镇银行的地方性金融风险扩大为全国范围内的系统性风险。同时由于多方合作具有主体金融机构多元、职能复杂、数据庞大、业务交叉等特点,导致风险的潜伏时间长,难以及时发现风险萌芽。
对村镇银行金融科技的监管风险
当前我国的金融监管部门对银行保险业和证券期货业的大中型机构的信息科技监管规范及监管手段相对成熟,各行业监管部门对金融机构的信息科技监管规范的持续发布和监管检查与评级已开展多年,取得了良好的效果。但针对小型金融机构,特别是村镇银行,不仅是在业务监管方面存在监管不彻底的问题,而且在金融科技方面的监管方面也没有引起足够的重视,存在较大的空缺。
同时,由于我国采用传统的分业监管机制,比如互联网行业由工信部监管,金融行业由银保监会监管。这种机制对于跨行业的业务监管,比如对于各金融业务尤其是新兴的金融科技业务存在监管重叠和监管空白问题。
另外,缺乏有效的监管技术手段也是造成监管不到位的重要原因。例如,本次涉事村镇银行开发的自营平台,搭建了一个跟村镇银行网银体系一模一样的网银系统,表面看上去一切正常,但钱实际上没有进入银行账户,而是流入了大股东控制的外部账户,就是因缺乏有效的技术性监管手段而造成的村镇银行两套账户的非法事件。
3.2村镇银行常见信息科技风险
村镇银行由于其自身能力与人才的不足,其IT系统一般采用由发起行协助开发、外部厂商定制开发或租用第三方平台应用等形式,这种以外部力量建立银行IT系统有其方便快捷的好处,但后续IT系统的运营管理是村镇银行普遍存在的薄弱环节,会带来较大的IT外包、日常运维、数据安全及新技术应用等方面的安全风险。
IT外包风险
基于成本和人才的原因,较小的村镇银行一般不会设立自己的研发部门,银行会把核心业务系统及辅助性系统交给IT硬件厂商、软件厂商及专业服务厂商来做,以缩短开发周期和减少人力成本,外包人员在人员能力和安全意识方面都参差不齐。而村镇银行往往外包管理的能力不足,这将给金融业务带来较大的舞弊操作、敏感数据泄露、业务无法快速恢复等安全风险。
日常运维风险
村镇银行的业务应用系统投产上线后,还需要做好日常运维管理工作,如果由于存在日常操作规范、网络安全防护、事件管理、变更管理、应急响应与处置、运行记录保存、数据备份恢复等方面的缺陷,将造成银行的IT系统停机、外部入侵、业务中断、合规处罚等风险。
数据安全风险
随着金融科技的快速发展,村镇银行利用互联网支付、理财、征信、保险等金融业务平台,累积了大量的金融数据,但是村镇银行安全管理能力有限,无法对数据安全进行有效的管理,从而面临着数据泄露、丢失、篡改,以及非法使用的可能,由于金融科技风险快速蔓延的特点,造成遭受巨额损失的风险增大,甚至可能破坏原本稳定安全的国家金融环境。
新技术应用风险
随着金融科技的快速发展,村镇银行为拓展渠道、开展业务,也会越来越多利用云计算、大数据、移动互联、人工智能等新技术,开展金融业务中的智能身份识别、大数据征信、业务反欺诈、网上支付、互联网理财与保险等方面的开发与应用。但是由于村镇银行对新兴技术的安全管理能力有限,在未知的安全漏洞和不断升级的“黑产”攻击面前显得力不从心,不可避免地面临着巨大的安全风险与合规风险;同时由于互联网平台广泛覆盖和新技术风险快速蔓延的特点,造成遭受巨额损失的风险在不断增大,甚至可能会引起破坏国家金融稳定的重大事件。
04
对村镇银行金融科技风险管控的建议
村镇银行应在有利于防范风险、有利于拓展支农支小特色服务、有利于完善公司治理的前提下,加强对自身金融科技的风险管理。
一方面,监管部门应建立健全针对村镇银行金融科技的监管要求,并利用社会力量监督执行;另一方面,村镇银行应充分利用发起行在信息科技方面的技术与管理优势,必要时可引入同业合作资源和第三方IT外包资源,开展有自身特色的信息系统的建设,并建立与信息系统运行管理模式相匹配的信息科技风险管理体系,强化网络安全、业务连续性、IT外包等领域的风险防控,保障数据安全及信息系统平稳、持续运行。
以下分别从加强对村镇银行金融科技的监管和提高村镇银行自身金融科技管理水平两个维度提出加强村镇银行金融科技安全的建议。
村镇银行金融科技安全框架
4.1 对加强村镇银行金融科技监管的建议
从完善村镇银行金融科技监管要求、提升监管科技水平、利用社会力量开展IT审计三个方面提出如下监管建议:
完善对村镇银行金融科技的监管规范要求
应充分利用我国在银行保险业和证券期货业的长期信息科技监管中积累的经验,制定并发布村镇银行金融科技监管规范,指导村镇银行开展金融科技风险管理,确保村镇银行的金融科技能够在IT治理、信息基础设施建设、IT规划与项目管理、系统开发运行管理、安全防护、数据管理、新技术应用、应急灾备、IT外包等方面建立有效的管理机制,确保信息科技工作目标与业务发展目标一致,增强村镇银行核心竞争力,促进村镇银行安全、持续、稳健发展。
另一方面,针对涉及移动互联网、大数据、人工智能、区块链等新兴技术的金融业务领域,各行业监管部门、政府相关部门及企业应联合起来,共同研究制定适用的新技术安全监管规范和操作指引;完善跨行业的金融科技合规要求,制定相关监管细则并严格实施,从根本上对村镇银行涉及的新技术风险管控思路与方法加以指导,从源头上遏制村镇银行利用新技术和互联网平台时可能造成金融风险无限扩大的可能性。
提升监管科技水平,延伸监管视角到重要业务环节
由于监管思路及监管力量的约束,我国当前监管部门对于金融机构的监管重点大多放在大中型金融机构身上,而对于像村镇银行这类小微型金融机构的监管投入有限;而且,监管的方式多停留在事前管理,注重规范市场准入的条件,而往往忽略事中、事后的全过程的监管,易造成监管不彻底,形成监管空缺。由于新技术的发展和互联网应用的深入,当前包括村镇银行在内的小微型金融机构,所引起的风险程度并不能完全以其自身的规模大小来衡量,小微型金融机构由于金融科技利用不当也可能造成大范围的系统性风险。这应当引起监管部门的足够警觉。
金融科技安全是金融安全的底座,防范系统性金融安全风险,应加快相关监管科技的创新,建立全方位的信息系统安全管理机制和丰富监管手段,加强金融业务和数字科技结合的监管。比如开展金融事件的大数据关联分析,标准化风险描述方法和格式,识别金融事件发生的各个要素,细化描述金融事件发生过程,并以结构化的方式对风险加以展现;同时对金融事件中的金融数据等信息记录为数字风险台账,建立风险雷达,运用AI技术前瞻性地研判风险情景;以及利用网络分析、机器学习等技术,智能识别海量金融科技交易,设置金融科技安全风险阈值,并进行安全报警,实时监督、管控各类违法违规行为。
利用社会力量对村镇银行科技风险开展IT审计
当前金融机构中的大中型银行、保险和证券等机构已经建立较为完整的监管审查与评价制度,而且开展独立的第三方IT审计也已实施多年。主管部门及其地方分支机构的行政监管式的审查,一般只能把精力集中在大中型金融机构的关键信息基础设施和最重要金融科技事项的审查与评价上,无法覆盖到大多数小微型金融机构。因此,当前金融监管部门通过制定政策,号召和利用社会上的第三方力量,参加金融科技安全风险评价与IT审计工作就显得尤为重要。
在欧美,第三方安全评价与IT审计已经形成了一个巨大的市场,出现了一批专业从事第三方安全评价与IT审计的新兴公司。所有的服务类企业,例如Google、Amazon、Microsoft等,每年都需要第三方机构对其进行独立审计,出具的SOC1、SOC2、SOC3审计报告,其中SOC2的审计报告主要就是IT审计报告。这一机制催生一个庞大的IT审计服务的市场。
我国有关部门也在积极制定政策,推进第三方IT审计工作的开展。例如,中国内审协会已制定规范IT审计的信息系统审计指南,国家信息安全测评中心2018年5月发布了第一批“信息系统审计服务资质”。此外,银监会2009年发布《商业银行信息科技风险管理指引》要求银行要开展IT内部和外部审计,国家审计署2012年发布了《计算机审计实务公告第34号》,证监会2016年11月发布了《证券期货业信息系统审计指南 》等也促进了国内IT审计市场的逐步形成。
因此,主管部门可以针对村镇银行金融科技安全的要求,制定相关规范和标准,引导社会上的第三方力量参与金融科技安全的评价与审计工作,形成主管部门监管审查与第三方IT审计相结合的金融科技安全监管大环境,利用社会力量来完成对包括村镇银行在内的小微型金融机构的科技风险的监督工作,从而护航村镇银行金融科技的健康发展。
4.2 对提高村镇银行自身金融科技管理水平的建议
村镇银行应该从信息科技治理、基础设施及应用系统建设、开发运维管理、网络安全与科技风险管理、同业合作管理、IT外包管理等方面加强对金融科技的管控。
优化信息科技治理机制,提升信息科技管理水平
村镇银行应根据市场定位和业务战略,结合本行的管理水平和技术能力,选择自主管理和主发起行管理等因地制宜的模式,优化法人及最高管理层负责制,积极采用自建、同业合作或外包的方式开展信息科技工作。
村镇银行应成立信息科技管理部门,引入必要的金融科技人才,制定符合总体业务规划的金融科技战略、IT架构标准、IT制度流程、信息科技运行计划和信息科技风险评估计划,确保配置足够人力、财力资源,维持稳定、安全的信息科技环境。
加强信息科技基础设施和业务应用系统建设
村镇银行应重视信息科技基础设施建设,必要时引入符合金融监管要求的云计算资源;信息科技基础设施应满足资源共享、便于管理、安全可靠的原则,并符合可扩展和易维护的要求,为各类信息科技应用提供支持和服务。
村镇银行信息系统应具备有效支持各项银行业务开展所需的功能,满足村镇银行发行银行卡、建立支付结算渠道、发展电子银行业务、创新金融产品等需求;具备与业务处理要求相匹配的良好性能;对于现代化支付、银行卡联网、征信等系统,原则上应实现信息系统集中接入和集约管理。
完善村镇银行信息科技开发与运维管理
村镇银行应建立健全信息系统开发和运行管理的制度与流程,涵盖需求管理、项目管理、采购管理、开发管理、测试管理、验收管理、问题管理和变更管理等内容。
应制定信息系统的运行操作规范,说明系统操作人员的任务、工作日程、执行步骤,并根据信息系统生产变更情况及时修订;应制定信息系统故障管理流程,明确信息系统故障分类分级、报告路线、应急处置、原因分析等工作流程和管理要求;建立信息系统、网络、机房环境的实时监控平台,及时发现、处理问题,尽量减小损失。
制定数据管理制度,村镇银行生产数据的所有权归村镇银行,村镇银行以外的单位未经授权,不得查询、使用、变更、销毁村镇银行生产数据。规范数据备份的工作流程和管理要求,明确数据备份介质的安全保存要求,严格执行数据备份策略并定期检查。
加强村镇银行的网络安全管理和信息科技风险管理
村镇银行应建立符合等级保护要求的网络安全管理体系,涵盖物理安全、网络安全、系统安全、加密技术、日志管理等内容;村镇银行应建立有效的应急管理体系,确保重要信息系统突发事件发生后快速恢复,降低或消除因重要信息系统服务中断造成的影响和损失;村镇银行应重视业务连续性管理,指定综合管理部门为业务连续性管理主管部门,明确业务连续性管理执行、保障部门,以及业务连续性管理、业务连续性计划制定、演练与改进等职责。
村镇银行应将信息科技风险纳入全面风险管理框架,明确信息科技风险管理工作的主管部门,建立与业务发展规划、经营目标、管理职责相适应的信息科技风险管理策略,有效识别、计量、监测和控制信息科技风险。
加强同业合作,快速可靠地提升科技应用与管理水平
村镇银行应综合评估拟受托同业机构的行业经验、科技实力和管理能力等,遵循平等、自愿、诚信、互利的原则,委托同业机构承担村镇银行信息科技服务工作,受托同业机构应建立有效的信息科技治理机制,对其承担的村镇银行信息科技工作负有科技风险管理责任,并配合村镇银行信息科技审计工作;各签约方应建立良好的沟通协调机制,应指定部门负责信息科技事项的沟通工作,确保信息科技服务及时、到位。
加强IT外包管理,利用外部资源弥补自身的不足
村镇银行由于其自身的开发能力和专业人才方面的局限性,在核心业务系统开发、业务数据管理、网络安全防护、新技术新渠道应用等方面通过信息科技外包的方式引入外部产品和服务厂商的支持,以克服自身能力的不足。
村镇银行应从顶层推动开展信息科技外包管理体系建设,完善外包制度和流程建设,定期对外包管理工作落实情况进行监督,建立信息科技外包管理组织与职责,合理规划科技外包制度体系框架,形成科技外包制度体系管控模式。
在外包服务实施过程中,村镇银行应当对服务提供商的财务、内控及安全管理进行持续监控,关注其因破产、兼并、关键人员流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等情况,防范外包服务意外终止或服务质量的急剧下降。
总之,村镇银行的金融科技安全应从监管层面加强金融科技监管,提升监管科技水平,同时并在村镇银行层面提升自身金融科技规划建设与安全管控的水平,以提供合理的科技治理机制和可靠的科技安全底座,确保村镇银行的健康发展。
作者简介
张奕,谷安(安全牛)研究院研究员,长期从事信息安全、企业数字化转型顶层规划和自动化运维等工作,拥有20年以上IT安全、运维服务和IT咨询经验,已取得CISA、TOGAF、COBIT、ITIL、PMP、CCNA证书。曾在某英国全球性公司北京公司担任IT负责人,以及埃森哲担任IT咨询师。
沈飙,谷安(安全牛)研究院负责人,长期从事信息安全相关工作,有超过20年的网络安全项目集成与实施经验,曾经主导国内著名银行数据大集中项目的规划和建设,参与并主导国内大型企业网络安全建设规范的制定及实施。对当今主流网络安全技术,以及网络安全规划服务、风险评估服务、安全策略咨询服务有较深入研究。
原创文章,作者:lishengli,如若转载,请注明出处:http://www.lishengli.com/lee/496.html