从近期村镇银行事件看村镇银行金融科技安全以河南新财富集团等为首的犯罪团伙,通过关联持股、交叉持股、增资增资等方式,实际控制了禹州新民生等多家村镇银行。持股和操纵银行高管。君正智达科技有限公司开发的自营平台与犯罪团伙成立的一伙资金掮客,共同为拉取储蓄、销售金融产品、以虚构贷款等方式非法转移资金,专门设置up鱼鱼信息技术有限公司删除、修改数据、屏蔽、隐匿……”2022年7月18日,据中国银行保险报报道,公安机关已初步查明案件主要事实河南新财富集团操纵河南、安徽5家村镇银行,通过内外勾结、利用第三方平台和资金经纪人非法吸纳、占用公募资金,篡改原始业务数据,并掩盖违法行为。本案中,村镇银行利用三方平台和微信小程序,获取大量异地存款,资金高达40b亿元,其中线上收款约300亿元,线下储户约有100亿元。从此次银行业事件的初步调查结果来看,事件的根本原因是这些村镇银行的执行股东相互串通,利用符合银保监会规定的程序,制造了一个伪造系统并与第三方通信。公司设立不进入真实账户的平台,以达到非法吸收、占用公款的目的。此次事件涉及的储户数量、金额之大前所未有,引起社会各界的震动和对村镇银行金融安全的思考。此次事件不仅暴露了该行内部管理和外部监管的巨大漏洞,金融科技管理方面的缺陷也助长了此次事件的发展。本文从村镇银行金融科技安全的角度探讨村镇银行如何管理金融科技风险。2、村镇银行金融科技发展现状村镇银行是设立在农村地区,主要为当地农民、农业和农村经济发展提供金融服务的银行业金融机构。近年来,村镇银行在国家鼓励下快速发展,有效填补了农村金融服务空白,加大了对农村的金融支持力度,业务规模不断扩大,业务内容不断丰富。互联网、大数据等新技术下的互联网发展。一、我国村镇银行发展的背景2006年,为解决农村地区银行业金融机构覆盖率低、金融供给不足、竞争不足等问题,银保监会放宽了农村银行业金融机构准入政策。农村银行业金融机构。2006年12月发布《中国银行业监督管理委员会关于调整放宽农村地区银行业金融机构准入政策更好支持社会主义新农村建设的若干意见》,包括调整放宽农村银行业金融机构准入政策,鼓励在县(市)设立村镇银行。国内村镇银行试点于2006年12月启动,2007年3月在我国首批6个试点省份诞生了首批村镇银行。据银保监会数据显示证监会,截至2020年6月30日,全国已设立村镇银行1633家。截至2021年末,我国村镇银行法人机构数量达到1649家,约占全国银行业金融机构总数的36%。村镇银行的发展,促进了农村地区形成多元投资、形式多样的银行业金融服务体系,更好地做优做强农村金融服务。村镇银行为我国县域经济发展贡献了重要力量,是我国农村金融的重要参与者之一。2、村镇银行信息化建设现状当前村镇银行信息化建设在一定程度上支撑了当前业务发展,但仍存在以下突出问题:系统功能单一,外包系统无自主开发权,业务发展受限;科技力量薄弱,系统运维管理不规范,系统问题由外部公司技术人员远程支持;业务数据管理不规范,缺乏应急容灾和业务连续性管理;风险管控薄弱,存在较大安全隐患,大量业务相关数据无法在线监控,不利于管理监管部门及时准确掌握自身业务实际情况。与国有商业银行和股份制商业银行相比,信息科技资金投入有限,科技人才薄弱,自主开发和运维能力不足。这些已成为村镇银行在信息化建设中面临的最突出问题,也埋下了诸多科技风险。隐患。三是村镇银行面临新技术新业务挑战。随着金融信息化的深入发展,金融科技为传统金融带来了新理念、新动力,引发了传统金融业务模式、盈利模式和服务模式的变革。金融科技也为村镇银行的业务创新带来了“弯道超车”的机遇。例如,村镇银行可以利用互联网渠道扩大业务,降低经营成本。村镇银行利用金融科技的转型形式主要有直销银行、网上银行、第三方平台、公众号、小程序等。相比国有银行、股份制银行在金融科技领域的大量投入,大部分村镇银行受资金、人才和业务规模的限制,难以自主开发适用的金融科技系统,即使购买现成的创新应用系统,由于相关金融科技人才匮乏,也很难有效地使用它们。因此,村镇银行在信息科技能力先天不足的情况下,面对同业在金融科技领域的竞争,也被迫面临诸多新的挑战和风险。三、村镇银行面临的金融科技风险据央行统计,截至2021年二季度,共有122家村镇银行为高风险机构,约占全部高风险机构的29%。村镇银行金融科技风险包括固有风险和信息科技共性风险。1、村镇银行固有风险村镇银行由于自身特点,容易存在门槛低的准入风险、互联网平台合作带来的业务安全风险、外包带来的IT外包安全风险等固有风险.村镇银行门槛低带来的准入门槛风险2007年银保监会发布?,在地市、县(市)、镇(镇)设立的村镇银行,其注册资本应为不少于5000万元、300万元、100万元。因为与传统银行业相比,村镇银行的准入门槛较低,增加了金融机构关联持股、交叉持股、增资扩股、操纵银行高管等固有风险。极低的参与门槛,让居心叵测之人轻而易举拿到“银行”招牌,这也是此次事件闹得沸沸扬扬的深层次原因之一。与第三方互联网平台合作带来的经营风险2019年开始,主打互联网营销的第三方平台产品逐渐成熟。由于业务拓展的需要,村镇银行普遍通过互联网与众多第三方平台对接,获取巨大入口,以开展存管业务,吸纳更多公众存款。特别是在2021年央行和银保监会叫停互联网存款业务后,包括村镇银行在内的很多小银行纷纷将存量客户分流至自己的小程序、公众号或银行APP,以留存存量。客户和业务发展,以持续提供银行存款服务,促进了小程序、公众号或银行APP用户群体的快速发展和壮大。然而,这种多方合作往往存在平台交易流程不透明、交易过程中信息不对称等问题,带来交易过程中难以快速解决的问题,从而引发业务风险。银行的地方性金融风险已经扩展为全国性的系统性风险。同时,由于与多家主要金融机构的多方合作、功能复杂、数据庞大、业务交叉等特点,风险潜伏期长,风险出现时难以察觉。时间。村镇银行金融科技监管风险目前,我国金融监管部门对银行业、保险业、证券期货业的大中型机构具有较为成熟的信息科技监管规范和监管手段。连续发布和监管检查评级已开展多年,取得了良好的效果。但对于小型金融机构特别是村镇银行,不仅存在业务监管不完善的问题,而且对金融科技监管重视不够,存在较大差距。同时,由于我国采用传统的分业监管机制,比如互联网行业由工信部监管,金融行业由银保监会监管。这种机制存在跨行业业务监管的问题,例如各种金融业务,特别是新兴金融科技业务的监管重叠和监管空白。此外,缺乏有效的监管技术手段也是监管不到位的重要原因。例如,本次涉案村镇银行开发的自营平台,构建了与村镇银行网上银行系统完全相同的网上银行系统。表面上看一切正常,但这笔钱实际上并没有进入银行账户,而是流入了大股东控制的银行账户。外开账户是村镇银行由于缺乏有效的技术监管手段而导致的两套账户违规事件。2.村镇银行普遍存在的信息科技风险由于自身能力和人才不足,其IT系统一般由发起行协助开发、外部厂商定制开发或租用第三方平台应用。IT系统有其便捷、快捷的优势,但后续IT系统的运维管理是村镇银行普遍存在的薄弱环节,这将在IT外包、日常运维、数据安全和数据安全等方面带来较大的安全风险。新技术应用。IT外包的风险是基于成本和人才。较小的村镇银行一般不设立自己的研发部门。银行将核心业务系统和辅助系统交给IT硬件制造商、软件制造商和专业服务商。为了缩短开发周期,降低人力成本,外包人员在人员能力和安全意识方面参差不齐。然而,村镇银行往往缺乏外包管理能力,这将给金融服务带来更大的安全风险,如欺诈操作、敏感数据泄露、无法快速恢复业务等。日常运维风险村镇银行业务应用系统上线后,仍需做好日常运维管理工作。数据备份与恢复存在缺陷,将导致银行IT系统宕机、外部入侵、业务中断、合规处罚等风险。数据安全风险随着金融科技的快速发展,村镇银行利用互联网支付、理财、征信、保险等金融业务平台积累了大量的金融数据。但村镇银行安全管理能力有限,无法有效监控数据安全。由于金融科技风险快速蔓延,巨额损失风险增加,甚至可能破坏国家原本稳定安全的金融环境。新技术应用风险随着金融科技的快速发展,村镇银行将越来越多地利用云计算、大数据、移动互联网、人工智能等新技术,在金融服务中打造智能身份,以拓展渠道和开展业务。身份识别、大数据征信、商业反欺诈、网络支付、互联网理财和保险等领域的开发与应用。但由于村镇银行对新兴技术的安全管理能力有限,面对未知的安全漏洞和不断升级的“黑产业”攻击无能为力,不可避免地面临着巨大的安全合规风险;同时,由于互联网平台广泛覆盖的特点和新技术风险传播速度快,导致巨额损失的风险不断加大,甚至可能引发破坏国家金融稳定的重大事件。四、对村镇银行金融科技风险管控的建议村镇银行应在有利于防范风险、拓展支农支小特色服务、完善公司治理的前提下,加强自身金融科技风险管理。一方面,监管部门要建立健全村镇银行金融科技监管要求,并借助社会力量监督落实;合作资源和第三方IT外包资源,开展具有自身特色的信息系统建设,建立与信息系统运行管理模式相匹配的信息科技风险管理体系,强化网络安全、业务等领域风险连续性、信息化外包防控,保障数据安全和信息系统平稳持续运行。以下从加强村镇银行金融科技监管和提高村镇银行金融科技管理水平两个维度,提出加强村镇银行金融科技安全的建议。村镇银行金融科技安全框架一、关于加强村镇银行金融科技监管的建议从以下三个方面提出监管建议:完善对村镇银行金融科技的监管要求,提高监管科技水平,加强对村镇银行金融科技的监管。借助社会力量开展信息科技审计:提升村镇银行金融科技水平科技监管规范要求我们要充分利用银行、保险、证券等长期信息科技监管中积累的经验,制定出台村镇银行金融科技监管规范,引导村镇银行开展金融科技风险管理,确保村镇银行金融科技在信息化治理中建立有效的管理机制,资讯n基础设施建设、IT规划与项目管理、系统开发与运营管理、安全防护、数据管理、新技术应用、应急灾备、IT外包等,确保信息技术工作目标与业务发展相一致目标,提升村镇银行核心竞争力,促进村镇银行安全、持续、稳健发展。另一方面,对于涉及移动互联网、大数据、人工智能、区块链等新兴技术的金融业务领域,各行业监管机构、政府有关部门、企业要联合起来,共同研究制定适用的新技术安全监管措施。规范完善跨行业金融科技合规要求,制定相关监管规则并严格执行,从根本上引导村镇银行涉足新技术风险管控的思路和方法,从源头上遏制村镇银行。互联网平台可能导致金融风险无限扩大的可能性。提升监管科技水平,将监管视角延伸至重要业务环节。由于监管理念和监管力量的制约,我国现行监管部门在对金融机构的监管上多以大中型金融机构为主,而以村镇银行等小微金融机构为主。监管方面的机构投资有限;而且,监管方式多停留在事前管理,注重规范市场准入条件,往往忽视事中事后全过程监管,容易造成监管不彻底、监管空白。由于新技术的发展和互联网应用的深入,村镇银行等小微金融机构的风险程度不能完全用自身规模来衡量。可能引发范围广泛的系统性风险。这应该引起监管部门的足够警惕。金融科技安全是金融安全的基础。防范系统性金融安全风险,要加快相关监管技术创新,建立完善的信息系统安全管理机制和丰富监管手段,加强金融业务与数字技术相结合的监管。例如,对金融事件进行大数据关联分析,规范风险描述方法和格式,识别金融事件的各种要素,详细描述金融事件的过程,结构化呈现风险;将财务数据等信息记录为数字化风险台账,建立风险雷达,利用人工智能技术预测风险场景;并利用网络分析、机器学习等技术,智能识别海量金融科技交易,设置金融科技安全风险阈值,并进行安全预警,实时监控和控制各类违法违规行为。借助社会力量开展村镇银行科技风险信息化审计。目前,金融机构中的大中型银行、保险和证券机构已经建立了较为完善的监管审查和评估体系,独立的第三方IT审计已实施多年。主管部门及其地方分支机构的行政监管审查一般只能集中审查评估大中型金融机构的关键信息基础设施和最重要的金融科技问题,无法涵盖大部分小微金融机构。机制。因此,当前金融监管部门制定政策,号召和借助社会第三方力量,参与金融科技安全风险评估和IT审计显得尤为重要。在欧美,第三方安全测评和IT审计已经形成了巨大的市场,涌现出一批专门从事第三方安全测评和IT审计的新兴企业。所有服务公司,如谷歌、亚马逊、微软等,每年都需要第三方机构进行独立审计,并出具SOC1、SOC2、SOC3审计报告,其中SOC2审计报告主要是IT审计报告。这种机制催生了巨大的IT审计服务市场。我国有关部门也在积极制定政策,促进第三方IT审计工作的发展。例如,中国内部审计学会制定了信息系统审计指南规范IT审计,国家信息安全测评中心于2018年5月发布了第一批《信息系统审计服务资质》。此外,中国银监会2009年证监会发文《商业银行信息科技风险管理指引》要求银行开展IT内外部审计,2012年国家审计署发文《计算机审计实务公告第34号》,2016年11月证监会发文《证券期货业信息系统审计指南》,也推动了国内IT审计市场。逐渐形成。因此,主管部门可根据村镇银行金融科技安全要求,制定相关规范标准,引导社会第三方力量参与金融科技安全评估审计,形成监管审查相结合的机制。由主管当局和第三方IT审计。金融科技安全监管环境,借助社会力量,完成对包括村镇银行在内的小微金融机构的科技风险监管,为村镇银行金融科技健康发展保驾护航。2.提高村镇银行金融科技管理水平的建议。村镇银行要加强信息科技治理、基础设施和应用系统建设、开发维护管理、网络安全和科技风险管理、同业合作管理、信息技术外包管理等工作。对金融科技的控制。优化信息科技治理机制,提高信息科技管理水平发起人管理,优化法人和高管责任制,积极采取自建、同行合作或外包方式开展信息化工作。村镇银行应设立信息科技管理部门,引进必要的金融科技人才,制定与总体经营规划相衔接的金融科技战略、IT架构标准、IT系统流程、信息科技运营计划、信息科技风险评估方案等。以确保分配足够的人力、财力以维持稳定和安全的信息技术环境。加强信息科技基础设施和业务应用系统建设村镇银行要重视信息科技基础设施建设,必要时引入符合金融监管要求的云计算资源;信息技术基础设施应当满足资源共享、易于管理、安全可靠的原则,满足可扩展性和易维护性的要求,为各类信息技术应用提供支持和服务。村镇银行信息系统应具备有效支持银行业各项业务发展的功能,满足村镇银行发行银行卡、建立支付结算渠道、发展电子银行业务、创新金融产品的需要;表现;对于现代支付、银行卡联网、征信等系统,原则上应实现信息系统的集中接入和集约化管理。完善村镇银行信息化建设和运维管理村镇银行应建立健全信息系统建设和运营管理制度和流程,涵盖需求管理、项目管理、采购管理、开发管理、测试管理、验收管理、问题管理和变更管理等。应制定信息系统运行操作规范,说明系统操作人员的任务、工作进度和执行步骤,并根据信息系统的生产变化及时修订;应制定信息系统故障管理流程,明确信息系统故障的分类分类、报告路径、应急响应、原因分析等工作流程和管理要求;建立信息系统、网络、机房环境实时监控平台,及时发现问题、处理问题,最大限度减少损失。制定数据管理制度。村镇银行生产数据的所有权属于村镇银行。村镇银行以外的单位不得擅自查询、使用、更改、销毁村镇银行生产数据。规范数据备份工作流程和管理要求,明确数据备份介质安全存放要求,严格执行数据备份政策,定期检查。加强村镇银行网络安全管理和信息科技风险管理村镇银行应建立符合分级保护要求的网络安全管理体系,涵盖物理安全、网络安全、系统安全、加密技术、日志管理等方面.;村镇银行应建立有效的应急管理体系,确保重要信息系统在突发事件发生后迅速恢复,减少或消除重要信息系统服务中断造成的影响和损失。村镇银行要重视业务连续性管理,指定综合管理部门为业务连续性管理主管部门,明确业务连续性管理实施和保障部门,以及业务连续性管理职责、业务连续性计划制定、演练等。和改进。村镇银行应将信息科技风险纳入全面风险管理框架,明确信息科技风险管理的主管部门,建立与业务发展规划、经营目标和管理职责相适应的信息科技风险管理策略,有效识别、衡量、监控和控制信息技术风险。加强同业合作,快速可靠地提升科技应用和管理水平村镇银行要综合评估拟受托的同业机构的行业经验、科技实力和管理能力,遵循平等、自愿、诚信的原则、互惠互利,委托同业机构承担村镇银行的任务。信息科技服务工作,同业受托机构应建立有效的信息科技治理机制,负责其在村镇银行开展的信息科技工作的科技风险管理,配合村镇银行信息科技审计工作;签约各方应建立良好的沟通协调机制,指定部门负责信息技术事项的沟通,确保信息技术服务及时、到位。加强IT外包管理,利用外部资源弥补自身短板。村镇银行受自身发展能力和专业人才的限制,主要通过核心业务系统开发、业务数据管理、网络安全保护、新技术新渠道应用等。信息技术外包的方式是引入外部产品和服务厂商的支持,以克服自身能力的不足。村镇银行应从顶层推进信息科技外包管理体系建设,完善外包制度和流程建设,定期监督外包管理工作的落实情况,建立信息科技外包管理机构和职责,合理规划科技外包的制度框架。外包体系,形成技术外包制度体系管控模式。在外包服务实施过程中,村镇银行应持续监控服务商的财务、内控和安全管理情况,关注其财务状况恶化和内部管理混乱等情况,防止外包服务意外终止或服务质量急剧下降。总之,村镇银行金融科技安全应从监管层面加强金融科技监管,提升监管科技水平,同时提升村镇银行层面的金融科技规划和安全管控水平,从而提供合理的技术治理机制和可靠的技术。安全基础是村镇银行健康发展的保障。
