支付系统运行风险防控“三道防线”实现方式探索与研究
2017-03-25朱卫兵
朱卫兵
2016年10月20日,中国人民银行范一飞副行长在第五届中国支付清算论坛上指出,我国支付清算产业是一个新兴产业,面临的机遇与挑战并存,要強化安全防控,进一步加强和改进机构内控治理,建立健全包括运维、风控和审计在内的“三道防线”。
为落实总行领导指示,昆明清算中心深入研究“三道防线”的实质和内涵,结合多年实践“控制型管理”的经验和成果,组织开展了支付系统风险防控“三道防线”实现方式的研究,争取为提高支付系统运行管理水平提供有效手段,为加强和改进机构内控治理走出一条新路。
一、金融机构提出“三道防线”的历史回顾
1997年,人民银行发布了《加强金融机构内部控制的指导原则》,要求金融机构建立完善的内部控制制度,建立一线岗位监督、部门岗位制衡及监督部门监控等“三道防线”,其防控对象主要是“防案件”。该指导原则2002年被废止。
2008年,财政部、银监会等五部委联合发布了《企业内部控制基本规范》,虽未明确提出“三道防线”的要求,但为金融机构设置“三道防线”提供了新的思路和指南。随着风险管理理论与实践的发展,防控对象逐渐从“防案件”发展为“防风险”。
在实践中,不同的金融机构基于对“三道防线”的不同理解,设置了不同的防线。事实上也应如此,“三道防线”的设置不可能千篇一律,要根据机构性质、业务流程、风险危害等方面的不同特点进行精确定位、精准设置。
二、支付系统“三道防线”设立思路
(一)支付系统业务特点
一是系统多,业务量大。目前运行的系统主要有大额支付系统、小额支付系统、网上支付跨行清算系统、电子商业汇票系统和支票影像交换系统等。以2016年为例,云南省支付系统共处理业务1.16亿笔,清算资金39.99万亿元;日均处理业务35万笔,清算资金1582亿元。
二是运行时间长,运行标准高。大额支付系统5×8.5工作日运行,为适应CIPS实现,运行时间有不断延长的趋势;小额支付系统、网上支付跨行清算系统、电子商业汇票系统和支票影像交换系统7×24小时不间断运行。据人民银行总行清算总中心四季度运行例会通报的消息,总行下达的最新系统可用率标准将由原来的99.9%调整为99.999%,即1年中可容忍的中断时间由8小时缩减为2分钟,运行标准大幅提升。
三是涉及面广,风险点多。城市处理中心向上通过国家处理中心与全国所有金融机构相连,向下与本地所有法人金融机构相连,作为资金“大动脉”,既涉及计算机软硬件、网络、机房环境等的技术管理,也涵盖业务操作、业务指标等的业务管理,环节多、风险多,一旦出问题,不是影响一家银行或者一些客户,而是影响全省、甚至全国。
(二)支付系统建立“三道防线”的思路
针对支付系统的业务特点,我们认为“三道防线”的建立要兼顾空间维度和时间维度。空间维度要覆盖所有的系统、所有的运维操作、所有的关键点,时间维度要保持全天候业务连续、服务连续。因此我们设计的支付系统“三道防线”的建设思路是:
建立第一道运维防线,规范日常运维操作,从“面”上预防风险。依据制度要求,制定和固化日常运维操作流程,使其可复制、可继承,实现日常运维操作的制度化、流程化、规范化,确保所有日常运维操作不会有遗漏,不会因为人员的不同而导致操作不同,不会因为换岗而导致工作无法开展,变事后处理为事前预防和事中控制,变被动维护为主动维护。
建立第二道风控防线,抓住关键环节,从“点”上控制风险。找准运维工作中的关键点、风险点(包括计算机软硬件、网络、机房环境等设备设施的安全性,也包括人员日常运维操作等的规范性),有针对性地进行监督检查,有效控制关键点、风险点,确保安全。
建立第三道审计防线,利用外部检查审计,从其他视角评估风险。借助外部审计、外部检查和第三方检测等手段进行监督,从外部视角进行客观评估,确保运维管理和风险控制的全面性、科学性,进一步强化第一、第二道防线。
三、支付系统“三道防线”的实现
支付系统“三道防线”共设置有10个环节,形成10份规范性的记录材料(见图一)。
(一)第一道运维防线的实现
第一道运维防线设置4个环节,一是梳理工作事项,对部门工作事项内容进行描述,划定防线范围(见表一);
二是梳理制度,对应工作事项列出上级、本级相关业务、技术管理制度(见表一);
三是梳理流程,将制度中的流程描述绘制成流程图,标注出执行人、执行要求等要素(见图二);
四是制定记录表,对流程图中的操作结果进行记录。
通过以上四个环节的落实,将形成工作事项列表、制度列表、流程列表和记录列表这“四个列表”,形成“制度管人、流程管理、痕迹管理”,提高城市处理中心支付系统运行管理的制度化、流程化、规范化水平,强化内控管理。
(二)第二道风控防线的实现
第二道风控防线设置3个环节,一是定位关键点、风险点,对于城市处理中心,主要梳理出计算机软硬件、网络、机房重要基础设施的主要运行参数,以及第一道运维防线重要运维操作的完成情况(见表一);
二是制定监督检查管理办法,对关键点、风险点制定检查方案,明确检查主体、检查方法和检查频度等;
三是严格执行检查,确保所有设施设备运行参数正常,所有运维操作规范完成。
通过以上三个环节的落实,将形成风险点列表、监督检查管理办法、检查记录表,形成“清单管理、重点管控”,有效防范系统风险、业务风险和人为风险。
(三)第三道审计防线的实现
第三道审计防线目前设置3个环节,一是邀请第三方评估机构进行测试,比如信息系统及机房环境等级保护测评、动力电源检测等;
二是联合相关部门开展协同检查,比如与科技、后勤、保卫等相关部门建立安全检查工作机制,定期、不定期开展安全检查;
三是接受内部或外部审计部门的专项检查,从业务、技术和管理等方面查找存在问题,排查安全隐患。
通过以上三个环节的落实,将形成第三方评估报告、片区安全检查报告和专项审计报告等,形成“内外制衡”,强化内控监督检查。
(四)“三道防线”的信息化实现
在“三道防线”10个环节的实现中,涉及文档管理、流程绘制和信息共享等,这些都可以依赖信息化手段更规范、更高效地实现。昆明清算中心通过多年实践和探索,搭建了支付系统“控制型管理平台”,并在日常业务和技术维护工作中实践应用,提高了运行维护规范化水平。为了使“三道防线”有更有效的信息化手段,昆明清算中心在原“控制型管理平台”的基础上,提出建立“人民银行城市处理中心辅助管理系统”,主要实现以下功能:
一是可定义工作事项,将工作事项分层、分类管理;
二是在工作事项下可定制操作流程,设定流程中每个步骤的具体操作要求;
三是对流程中的每个步骤可定制记录表单,实时记录每个步骤的完成情况;
四是对所有流程的执行情况可进行查询统计,实时监督检查各项工作完成情况;
五是可以实现信息文档的上传和共享。
通过信息化平台,可以使“三道防线”的实现更为科学化、规范化。
四、需要继续研究思考的问题
一是支付系统各参与者“三道防线”的建立。各参与者是支付系统体系架构中的重要节点,“三道防线”的建立应推广到每个节点,才能提升系统的整体风险防控能力。
二是与岗位(廉政)风险防控的结合。岗位(廉政)风险防控与“三道防线”有共同的目标和相近的实现思路,应加强研究,共同推进。
四是“三道防线”在其他单位、其他部门的推广。风险防控问题无处不在,要针对不同环境、不同要求,研究并提出具体的“三道防线”实现方式。