從近期村鎮銀行事件看村鎮銀行的金融科技安全

語言: CN / TW / HK

一、村鎮銀行事件背景

2022年7月10日許昌市公安局的警情通報:“...2011年以來,以犯罪嫌疑人呂奕為首的犯罪團伙通過河南新財富集團等公司,以關聯持股、交叉持股、增資擴股、操控銀行高管等手段,實際控制禹州新民生等幾家村鎮銀行,利用第三方網際網路金融平臺和該犯罪團伙設立的君正智達科技有限公司開發的自營平臺及一批資金掮客進行攬儲和推銷金融產品,以虛構貸款等方式非法轉移資金,專門設立宸鈺資訊科技有限公司刪改資料、遮蔽瞞報...”

2022年7月18日據中國銀行保險報報道,公安機關已初步查明河南安徽5家村鎮銀行案件主要事實,河南新財富集團操縱河南、安徽5家村鎮銀行,通過內外勾結、利用第三方平臺以及資金掮客等方式非法吸收並佔有公眾資金,篡改原始業務資料,掩蓋非法行為。該案件中村鎮銀行通過三方平臺以及微信小程式,大量異地攬儲,資金高達400億元,其中線上攬儲約300億,而線下儲戶資金有100億。

從這次銀行事件的初步調查結果來看,其發生的根源是由於這幾家村鎮銀行高管股東互相勾結,用符合銀保監規定的流程手續,做了一套假的系統,跟第三方公司搞了個不入真賬的平臺,以達到非法吸收並佔有公眾資金的目的。本次事件中涉事的儲戶之多,金額之大,都是前所未有的,引起了社會各界的震動和對村鎮銀行金融安全的思考。

此次事件不僅暴露了銀行內部管理及外部監管等方面的巨大漏洞,而且金融科技管理方面的缺陷也對此事件發展起到了推波助瀾的作用。本文從村鎮銀行的金融科技安全的角度來看村鎮銀行如何來進行金融科技風險管理。

二、村鎮銀行金融科技的發展現狀

村鎮銀行是在農村地區設立的主要為當地農民、農業和農村經濟發展提供金融服務的銀行業金融機構,近幾年村鎮銀行在國家的鼓勵下快速發展,有效地填補了農村地區金融服務的空白,增加了農村地區的金融支援力度,並在網際網路、大資料等新技術下在網際網路發展背景下不斷擴大業務規模和豐富業務內容。

1、中國村鎮銀行發展背景

2006年,為解決農村地區銀行業金融機構網點覆蓋率低、金融供給不足、競爭不充分等問題,銀監會放寬了農村銀行業金融機構的准入政策,2006年12月釋出了《中國銀行業監督管理委員會關於調整放寬農村地區銀行業金融機構准入政策更好支援社會主義新農村建設的若干意見》,內容包括調整放寬農村地區銀行業金融機構准入政策,鼓勵在縣(市)設立村鎮銀行。

國內村鎮銀行試點在2006年12月啟動,2007年3月首批村鎮銀行在國內6個首批試點省誕生。銀保監會資料顯示,截至(2020年6月30日),全國已組建1633家村鎮銀行,截至2021年末,我國村鎮銀行法人機構數量達到1649家,佔全國銀行業金融機構總數的36%左右。

村鎮銀行的發展促進了農村地區形成投資多元、種類多樣的銀行業金融服務體系,更好地改進和加強農村金融服務。村鎮銀行為我國縣域經濟的發展貢獻了重要的力量,是我國農村金融的重要參與者之一。

2、村鎮銀行的資訊化建設現狀

村鎮銀行當前的資訊化建設在一定程度上支撐了目前的業務發展,但依然存在以下突出問題:系統功能簡單,外購系統無自主開發權,業務發展受限;科技力量薄弱,系統運維管理不規範,出現系統問題由外部公司技術人員遠端支援;業務資料管理不規範,應急災備與業務連續性管理普通缺失;風險管控薄弱,存在很大安全隱患,很多業務相關資料不能線上監測,不利於管理行和監管部門及時準確地掌握其實際經營情況等。

與國有商業銀行和股份制商業銀行相比,資訊科技資金投入有限,科技人才力量薄弱,自主開發與運維能力不足,已成為村鎮銀行資訊化建設面臨的最突出問題,也埋下了諸多科技風險的隱患。

3、村鎮銀行面臨新技術新業務的挑戰

隨著金融資訊化的成長與發展,金融科技為傳統金融帶來了新思路、新動力,引起了傳統金融經營模式、盈利模式、服務模式等變化。金融科技同樣也給村鎮銀行的業務創新帶來了“彎道超車”的機會。例如,村鎮銀行可以利用網際網路渠道拓展業務,降低運營成本。村鎮銀行利用金融科技轉型的形式主要包括直銷銀行、網上銀行、第三方平臺、公眾號、小程式等。

相較於國有行和股份行在金融科技領域的大手筆投入,絕大部分村鎮銀行受資本、人才和業務規模的限制,難以獨立研發適用的金融科技系統,即便是購買了現成的創新類應用系統,由於缺乏相關金融科技人才,也很難高效地利用起來。因此,村鎮銀行在本身資訊科技能力先天不足的情況下,又要面對同業在金融科技領域的競爭,被迫面臨許多新的挑戰與風險。

三、村鎮銀行面臨的金融科技風險

據央行統計,截至2021年第二季度,共有122家村鎮銀行為高風險機構,佔全部高風險機構的29%左右。村鎮銀行的金融科技風險包括自身固有風險和常見資訊科技風險。

1、村鎮銀行自身固有風險

村鎮銀行由於其自身的特點,容易導致由於門檻較低帶來的准入風險,由網際網路平臺合作帶來的業務安全風險,以及由於外包帶來的IT外包安全風險等固有風險。

  • 村鎮銀行門檻較低帶來的准入風險

2007年中國銀行業監督管理委員印發《村鎮銀行管理暫行規定》,在地、縣(市)、在鄉(鎮)設立的村鎮銀行,其註冊資本為不低於人民幣5000萬、300萬和100萬元人民幣。

因為相比傳統銀行業來說,村鎮銀行較低的准入門檻,增加了金融機構關聯持股、交叉持股、增資擴股、操控銀行高管的固有風險。極低的參與門檻,讓不懷好意的人能輕易地拿到“銀行”的招牌,這也是本次事件亂象背後的深層次原因之一。

  • 與第三方網際網路平臺合作帶來的業務風險

2019年開始,注重網際網路營銷的第三方平臺的產品逐漸成熟,村鎮銀行由於業務擴張的需求,一般都會通過網際網路與眾多第三方平臺對接,獲得巨大的入口流量,以開展攬儲業務,吸收更多的公眾存款。特別是在2021年央行和銀保監會叫停了網際網路存款業務後,許多小銀行包括村鎮銀行為了保留已有客戶和業務發展,紛紛將已有客戶引流到自己的小程式、公眾號或者銀行APP,以繼續提供銀行存款服務,促使了小程式、公眾號或者銀行APP使用者群體的快速發展和壯大。

但是這種多方合作往往存在平臺交易流程不透明、交易過程資訊不對稱等問題,從而帶來交易過程出現問題難以快速解決而導致業務風險,並且由於網際網路平臺的加入,將使這種原屬於小型村鎮銀行的地方性金融風險擴大為全國範圍內的系統性風險。同時由於多方合作具有主體金融機構多元、職能複雜、資料龐大、業務交叉等特點,導致風險的潛伏時間長,難以及時發現風險萌芽。

  • 對村鎮銀行金融科技的監管風險

當前我國的金融監管部門對銀行保險業和證券期貨業的大中型機構的資訊科技監管規範及監管手段相對成熟,各行業監管部門對金融機構的資訊科技監管規範的持續釋出和監管檢查與評級已開展多年,取得了良好的效果。但針對小型金融機構,特別是村鎮銀行,不僅是在業務監管方面存在監管不徹底的問題,而且在金融科技方面的監管方面也沒有引起足夠的重視,存在較大的空缺。

同時,由於我國採用傳統的分業監管機制,比如網際網路行業由工信部監管,金融行業由銀保監會監管。這種機制對於跨行業的業務監管,比如對於各金融業務尤其是新興的金融科技業務存在監管重疊和監管空白問題。

另外,缺乏有效的監管技術手段也是造成監管不到位的重要原因。例如,本次涉事村鎮銀行開發的自營平臺,搭建了一個跟村鎮銀行網銀體系一模一樣的網銀系統,表面看上去一切正常,但錢實際上沒有進入銀行賬戶,而是流入了大股東控制的外部賬戶,就是因缺乏有效的技術性監管手段而造成的村鎮銀行兩套賬戶的非法事件。

2、村鎮銀行常見資訊科技風險

村鎮銀行由於其自身能力與人才的不足,其IT系統一般採用由發起行協助開發、外部廠商定製開發或租用第三方平臺應用等形式,這種以外部力量建立銀行IT系統有其方便快捷的好處,但後續IT系統的運營管理是村鎮銀行普遍存在的薄弱環節,會帶來較大的IT外包、日常運維、資料安全及新技術應用等方面的安全風險。

  • IT外包風險

基於成本和人才的原因,較小的村鎮銀行一般不會設立自己的研發部門,銀行會把核心業務系統及輔助性系統交給IT硬體廠商、軟體廠商及專業服務廠商來做,以縮短開發週期和減少人力成本,外包人員在人員能力和安全意識方面都參差不齊。而村鎮銀行往往外包管理的能力不足,這將給金融業務帶來較大的舞弊操作、敏感資料洩露、業務無法快速恢復等安全風險。

  • 日常運維風險

村鎮銀行的業務應用系統投產上線後,還需要做好日常運維管理工作,如果由於存在日常操作規範、網路安全防護、事件管理、變更管理、應急響應與處置、執行記錄儲存、資料備份恢復等方面的缺陷,將造成銀行的IT系統停機、外部入侵、業務中斷、合規處罰等風險。

  • 資料安全風險

隨著金融科技的快速發展,村鎮銀行利用網際網路支付、理財、徵信、保險等金融業務平臺,累積了大量的金融資料,但是村鎮銀行安全管理能力有限,無法對資料安全進行有效的管理,從而面臨著資料洩露、丟失、篡改,以及非法使用的可能,由於金融科技風險快速蔓延的特點,造成遭受鉅額損失的風險增大,甚至可能破壞原本穩定安全的國家金融環境。

  • 新技術應用風險

隨著金融科技的快速發展,村鎮銀行為拓展渠道、開展業務,也會越來越多利用雲端計算、大資料、移動互聯、人工智慧等新技術,開展金融業務中的智慧身份識別、大資料徵信、業務反欺詐、網上支付、網際網路理財與保險等方面的開發與應用。但是由於村鎮銀行對新興技術的安全管理能力有限,在未知的安全漏洞和不斷升級的“黑產”攻擊面前顯得力不從心,不可避免地面臨著巨大的安全風險與合規風險;同時由於網際網路平臺廣泛覆蓋和新技術風險快速蔓延的特點,造成遭受鉅額損失的風險在不斷增大,甚至可能會引起破壞國家金融穩定的重大事件。

四、對村鎮銀行金融科技風險管控的建議

村鎮銀行應在有利於防範風險、有利於拓展支農支小特色服務、有利於完善公司治理的前提下,加強對自身金融科技的風險管理。

一方面,監管部門應建立健全針對村鎮銀行金融科技的監管要求,並利用社會力量監督執行;另一方面,村鎮銀行應充分利用發起行在資訊科技方面的技術與管理優勢,必要時可引入同業合作資源和第三方IT外包資源,開展有自身特色的資訊系統的建設,並建立與資訊系統執行管理模式相匹配的資訊科技風險管理體系,強化網路安全、業務連續性、IT外包等領域的風險防控,保障資料安全及資訊系統平穩、持續執行。

以下分別從加強對村鎮銀行金融科技的監管和提高村鎮銀行自身金融科技管理水平兩個維度提出加強村鎮銀行金融科技安全的建議。

村鎮銀行金融科技安全框架

1、對加強村鎮銀行金融科技監管的建議

從完善村鎮銀行金融科技監管要求、提升監管科技水平、利用社會力量開展IT審計三個方面提出如下監管建議:

  • 完善對村鎮銀行金融科技的監管規範要求

應充分利用我國在銀行保險業和證券期貨業的長期資訊科技監管中積累的經驗,制定併發布村鎮銀行金融科技監管規範,指導村鎮銀行開展金融科技風險管理,確保村鎮銀行的金融科技能夠在IT治理、資訊基礎設施建設、IT規劃與專案管理、系統開發執行管理、安全防護、資料管理、新技術應用、應急災備、IT外包等方面建立有效的管理機制,確保資訊科技工作目標與業務發展目標一致,增強村鎮銀行核心競爭力,促進村鎮銀行安全、持續、穩健發展。

另一方面,針對涉及移動網際網路、大資料、人工智慧、區塊鏈等新興技術的金融業務領域,各行業監管部門、政府相關部門及企業應聯合起來,共同研究制定適用的新技術安全監管規範和操作指引;完善跨行業的金融科技合規要求,制定相關監管細則並嚴格實施,從根本上對村鎮銀行涉及的新技術風險管控思路與方法加以指導,從源頭上遏制村鎮銀行利用新技術和網際網路平臺時可能造成金融風險無限擴大的可能性。

  • 提升監管科技水平,延伸監管視角到重要業務環節

由於監管思路及監管力量的約束,我國當前監管部門對於金融機構的監管重點大多放在大中型金融機構身上,而對於像村鎮銀行這類小微型金融機構的監管投入有限;而且,監管的方式多停留在事前管理,注重規範市場准入的條件,而往往忽略事中、事後的全過程的監管,易造成監管不徹底,形成監管空缺。由於新技術的發展和網際網路應用的深入,當前包括村鎮銀行在內的小微型金融機構,所引起的風險程度並不能完全以其自身的規模大小來衡量,小微型金融機構由於金融科技利用不當也可能造成大範圍的系統性風險。這應當引起監管部門的足夠警覺。

金融科技安全是金融安全的底座,防範系統性金融安全風險,應加快相關監管科技的創新,建立全方位的資訊系統安全管理機制和豐富監管手段,加強金融業務和數字科技結合的監管。比如開展金融事件的大資料關聯分析,標準化風險描述方法和格式,識別金融事件發生的各個要素,細化描述金融事件發生過程,並以結構化的方式對風險加以展現;同時對金融事件中的金融資料等資訊記錄為數字風險臺賬,建立風險雷達,運用AI技術前瞻性地研判風險情景;以及利用網路分析、機器學習等技術,智慧識別海量金融科技交易,設定金融科技安全風險閾值,並進行安全報警,實時監督、管控各類違法違規行為。

  • 利用社會力量對村鎮銀行科技風險開展IT審計

當前金融機構中的大中型銀行、保險和證券等機構已經建立較為完整的監管審查與評價制度,而且開展獨立的第三方IT審計也已實施多年。主管部門及其地方分支機構的行政監管式的審查,一般只能把精力集中在大中型金融機構的關鍵資訊基礎設施和最重要金融科技事項的審查與評價上,無法覆蓋到大多數小微型金融機構。因此,當前金融監管部門通過制定政策,號召和利用社會上的第三方力量,參加金融科技安全風險評價與IT審計工作就顯得尤為重要。

在歐美,第三方安全評價與IT審計已經形成了一個巨大的市場,出現了一批專業從事第三方安全評價與IT審計的新興公司。所有的服務類企業,例如Google、Amazon、Microsoft等,每年都需要第三方機構對其進行獨立審計,出具的SOC1、SOC2、SOC3審計報告,其中SOC2的審計報告主要就是IT審計報告。這一機制催生一個龐大的IT審計服務的市場。

我國有關部門也在積極制定政策,推進第三方IT審計工作的開展。例如,中國內審協會已制定規範IT審計的資訊系統審計指南,國家資訊保安測評中心2018年5月釋出了第一批“資訊系統審計服務資質”。此外,銀監會2009年釋出《商業銀行資訊科技風險管理指引》要求銀行要開展IT內部和外部審計,國家審計署2012年釋出了《計算機審計實務公告第34號》,證監會2016年11月釋出了《證券期貨業資訊系統審計指南 》等也促進了國內IT審計市場的逐步形成。

因此,主管部門可以針對村鎮銀行金融科技安全的要求,制定相關規範和標準,引導社會上的第三方力量參與金融科技安全的評價與審計工作,形成主管部門監管審查與第三方IT審計相結合的金融科技安全監管大環境,利用社會力量來完成對包括村鎮銀行在內的小微型金融機構的科技風險的監督工作,從而護航村鎮銀行金融科技的健康發展。

2、對提高村鎮銀行自身金融科技管理水平的建議

村鎮銀行應該從資訊科技治理、基礎設施及應用系統建設、開發運維管理、網路安全與科技風險管理、同業合作管理、IT外包管理等方面加強對金融科技的管控。

  • 優化資訊科技治理機制,提升資訊科技管理水平

村鎮銀行應根據市場定位和業務戰略,結合本行的管理水平和技術能力,選擇自主管理和主發起行管理等因地制宜的模式,優化法人及最高管理層負責制,積極採用自建、同業合作或外包的方式開展資訊科技工作。

村鎮銀行應成立資訊科技管理部門,引入必要的金融科技人才,制定符合總體業務規劃的金融科技戰略、IT架構標準、IT制度流程、資訊科技執行計劃和資訊科技風險評估計劃,確保配置足夠人力、財力資源,維持穩定、安全的資訊科技環境。

  • 加強資訊科技基礎設施和業務應用系統建設

村鎮銀行應重視資訊科技基礎設施建設,必要時引入符合金融監管要求的雲端計算資源;資訊科技基礎設施應滿足資源共享、便於管理、安全可靠的原則,並符合可擴充套件和易維護的要求,為各類資訊科技應用提供支援和服務。

村鎮銀行資訊系統應具備有效支援各項銀行業務開展所需的功能,滿足村鎮銀行發行銀行卡、建立支付結算渠道、發展電子銀行業務、創新金融產品等需求;具備與業務處理要求相匹配的良好效能;對於現代化支付、銀行卡聯網、徵信等系統,原則上應實現資訊系統集中接入和集約管理。

  • 完善村鎮銀行資訊科技開發與運維管理

村鎮銀行應建立健全資訊系統開發和執行管理的制度與流程,涵蓋需求管理、專案管理、採購管理、開發管理、測試管理、驗收管理、問題管理和變更管理等內容。

應制定資訊系統的執行操作規範,說明系統操作人員的任務、工作日程、執行步驟,並根據資訊系統生產變更情況及時修訂;應制定資訊系統故障管理流程,明確資訊系統故障分類分級、報告路線、應急處置、原因分析等工作流程和管理要求;建立資訊系統、網路、機房環境的實時監控平臺,及時發現、處理問題,儘量減小損失。

制定資料管理制度,村鎮銀行生產資料的所有權歸村鎮銀行,村鎮銀行以外的單位未經授權,不得查詢、使用、變更、銷燬村鎮銀行生產資料。規範資料備份的工作流程和管理要求,明確資料備份介質的安全儲存要求,嚴格執行資料備份策略並定期檢查。

  • 加強村鎮銀行的網路安全管理和資訊科技風險管理

村鎮銀行應建立符合等級保護要求的網路安全管理體系,涵蓋物理安全、網路安全、系統安全、加密技術、日誌管理等內容;村鎮銀行應建立有效的應急管理體系,確保重要資訊系統突發事件發生後快速恢復,降低或消除因重要資訊系統服務中斷造成的影響和損失;村鎮銀行應重視業務連續性管理,指定綜合管理部門為業務連續性管理主管部門,明確業務連續性管理執行、保障部門,以及業務連續性管理、業務連續性計劃制定、演練與改進等職責。

村鎮銀行應將資訊科技風險納入全面風險管理框架,明確資訊科技風險管理工作的主管部門,建立與業務發展規劃、經營目標、管理職責相適應的資訊科技風險管理策略,有效識別、計量、監測和控制資訊科技風險。

  • 加強同業合作,快速可靠地提升科技應用與管理水平

村鎮銀行應綜合評估擬受託同業機構的行業經驗、科技實力和管理能力等,遵循平等、自願、誠信、互利的原則,委託同業機構承擔村鎮銀行資訊科技服務工作,受託同業機構應建立有效的資訊科技治理機制,對其承擔的村鎮銀行資訊科技工作負有科技風險管理責任,並配合村鎮銀行資訊科技審計工作;各簽約方應建立良好的溝通協調機制,應指定部門負責資訊科技事項的溝通工作,確保資訊科技服務及時、到位。

  • 加強IT外包管理,利用外部資源彌補自身的不足

村鎮銀行由於其自身的開發能力和專業人才方面的侷限性,在核心業務系統開發、業務資料管理、網路安全防護、新技術新渠道應用等方面通過資訊科技外包的方式引入外部產品和服務廠商的支援,以克服自身能力的不足。

村鎮銀行應從頂層推動開展資訊科技外包管理體系建設,完善外包制度和流程建設,定期對外包管理工作落實情況進行監督,建立資訊科技外包管理組織與職責,合理規劃科技外包制度體系框架,形成科技外包制度體系管控模式。

在外包服務實施過程中,村鎮銀行應當對服務提供商的財務、內控及安全管理進行持續監控,關注其因破產、兼併、關鍵人員流失、投入不足和管理不善等因素引發的財務狀況惡化及內部管理混亂等情況,防範外包服務意外終止或服務質量的急劇下降。

總之,村鎮銀行的金融科技安全應從監管層面加強金融科技監管,提升監管科技水平,同時並在村鎮銀行層面提升自身金融科技規劃建設與安全管控的水平,以提供合理的科技治理機制和可靠的科技安全底座,確保村鎮銀行的健康發展。