千文网小编为你整理了多篇相关的《银监检查自查报告共》,但愿对你工作学习有帮助,当然你在千文网还可以找到更多《银监检查自查报告共》。
第一篇:银监会信息系统现场检查指南
信息系统现场检查指南(架构)
为了规范和指导信息系统现场检查工作,提高信息系统现场检查的水平,确保信息系统 现场检查的质量,特制定本指南。
一、检查目的
(一)了解和掌握银行业金融机构信息系统管理组织体系、工作制和科技制度建设情况, 以及从业人员有关业务、技术和安全培训情况,评价其信息科技管理组织水平;
(二)了解和掌握银行业金融机构信息安全保障体系和内部控制规程,信息系统风险管 理岗位责任制度和监督落实情况,评价其计算机安全管理水平;
(三)了解和掌握银行业金融机构信息系统在研发过程中项目管理和变更管理情况,关 注规划、需求、分析、设计、编程、测试和投产以及外包等产生风险的环节,评价其管理水 平;
(四)了解和掌握银行业金融机构信息系统在信息系统运行和操作制度建设和执行情况, 促进银行业金融机构完善内控环境,控制和化解操作风险;
(五)了解和掌握银行业.金融机构信息系统在业务持续性计划方面制度建设和执行情 况,促进银行业金融机构信息系统信息科技风险管理涵盖管理、维护的每个环节。
二、检查要点
(一)检查信息系统风险管理架构、内部组织结构和工作机制、岗位职责和制度的完善 性和有效性,评估信息科技规划和管理的水平,了解信息科技人才管理机制,分析业务、技 术和安全培训工作的及时性和有效性,确保合理及时地防范和控制信息系统组织、规划风险。
(二)检查信息安全管理的流程情况,分析相关系统用户管理制度、密码管理制度及网 络安全制度,测试系统所涉及操作系统和数据库及防火墙等安全设施的安全性,评估被检查 银行是否采取有效安全的保护措施保障信息的保密性、完整性和可用性。
(三)检查分析软件及项目开发管理制度,了解信息科技部门档案管理流程,审阅外包 项目涉及的软件质量验收标准,检查银行业金融机构信息系统风险管理效率及水平,评估系 统开发的流程、质量及安全的管理情况。
(四)检查信息系统运行和操作管理情况,检查系统监控层面的处理流程及各类系统参 数、生产环境变更的受控方式,评估系统运行和操作管理的风险状况,促进运行操作管理的 科学化、制度化和规范化,确保信息系统安全可靠的运行。
(五)检查业务持续性规划的制定情况,分析其是否明确定义了管理层关于维护信息系统 可用性及更新相关业务持续性计划的责任和义务,并制定了合适的负责人员。评估建设及实 施关于灾难恢复的组织机构、业务流程和应对措施的合理性。
三、检查内容
(一)信息科技公司治理和组织结构 1.制度建设
(1)检查银行是否根据国家和银监会有关信息系统管理制度制定了实施细则,分析制 度制定、审批、修订和发布等流程的规范性。
(2)检查信息科技相关规章制度、技术规范、操作规程建设情况。重点检查:各项制 度规章是否正式发文,内容是否涵盖规划、研发、建设、运行、维护、应急、外包、保密和 监控等范畴,是否明确相关人员的职责权限并实行最小授权的制约机制,是否建立制订后评 价程序或机制,现有的制度是否适应组织结构、业务管理、信息安全的需要。
(3)检查实施知识产权保护情况。重点检查:正版软件版本管理情况;国产自有知识 产权的软硬件的使用情况;信息化安全等级保护工作情况;自主知识产权信息化成果保护情 况。
1 2.组织结构
(1)检查银行业金融机构董事层、经理层的信息科技管理和风险管理组织架构。重点 检查:
①科技管理、持续科技风险管理程序及就科技管理稳健务实的手段、工作分工和职责; 负责信息系统的战略规划、重大项目和风险监督管理的领导层面或决策机构及信息科技部门 的建设情况;信息科技风险管理职责的归属以及管理情况;公司董事会及其相关专业委员会、经营管理层对信息科技工作和信息风险管理的职责、分工是否明确。
②该银行组织结构设计的战略定位,组织结构的合理性是否符合风险管理的需要;董事 会和高管层面是否重视科技管理和信息科技规划工作;了解董事会对信息科技所担负的职 责,管理层如何发挥对信息科技的监督和指导作用;辨析组织的灵活性以及角色与职责的清 晰程度,了解内部平衡监督和放权的关系;分析对安全、质量和内部控制等的组织定位。
(2)检查信息系统建设决策流程、总体策略制定和统筹项目建设的情况。重点检查:信 息系统建设规划中是否涵盖信息安全、运行管理、业务持续性计划等重要内容;评估近期、中期和远期关于信息科技的重大策略和目标的合理性。着重从以下几个方面了解:
①银行如何利用信息科技技术更好地为企业创新服务,在进行信息科技治理时如何贯彻 “以组织战略目标为中心’,的思想,确保信息科技资源与业务匹配;银行的信息科技投资 是否与战略目标相一致;是否合理配臵信息科技资源以实现面向服务的架构,核心业务系统 是否能满足银行变化的需求;业务流程如何整合信息科技流程,在关键战略决策中信息科技 的融入程度,确保无信息孤岛现象。
②信息科技规划中如何更好的控制风险,包括控制业务风险和控制由信息科技使用带来 的风险。是否在信息科技建设规划每个环节考虑到风险因素,满足银行最低风险控制需要; 是否考虑到风险管理系统的建设,特别是满足监管当局的监管需求;能否实现自动从业务或 风险系统中采集监管数据,以提高银行风险监管能力。
③根据银行信息科技现状和信息科技规划初步评估该行信息科技建设水平,比如可以按 信息资产规模分为落后型、发展型、追随型和领先型。
(3)检查高管层对本机构信息系统风险状况的控制程度。重点检查:是否定期组织内 部评估、审计、报告本机构信息系统风险状况;针对存在的风险状况是否采取相应的风险控 制措施,以及各项措施的卜具体内容环节、主要实施部门和评估结果;是否建立了对整改工 作的监督机制。
(4)检查科技管理队伍、技术应用队伍、风险管理队伍的建设情况。重点检查:人员 素质情况,包括科技管理、科技风险管理和技术人员的知识结构、年龄结构、专业结构;人 员在系统内的占比情况;内审部门是否有既懂科技又懂业务的审计人员,风险管理部门是否 有专职IT 人员和已获得上岗证书的信息安全管理员;对信息科技人员的行为规范管理情况。 (5)检查科技队伍培训、激励等管理机制的建设执行情况。重点检查:培训规划和历史 记录,包括职业培训、岗前培训情况,相关职责所需专业知识和技能的实际符合情况;分析 信息科技人员从应聘、录用、培训、评估、晋升到解雇的整个从业历程是否合理、公平和透 明。
(二)信息安全管理 1.信息安全建设基本情况
(1)检查内部科技风险管理机构对信息系统面临的风险开展评估的情况。重点检查:通 过调阅该机构安全领导小组成立(或调整)的文件,其他与计算机安全相关的会议记录或文 件,了解该机构是否设立计算机信息系统安全领导小组并上报当地监督部门,是否充分履行 有关计算机安全管理和监督检查职责。
(2)检查服务承包商和提供商与相关法律、法规等的符合程度。重点检查:通过调阅
2 该机构所有承包商和服务提供商的详细资料和合同文本,确认所有承包商和服务提供商是否 符合法律法规要求,合同文本是否符合法律要求(如数据保护法规),是否明确各自的安全 责任,是否有确保业务资产的完整性和保密性的条款等。
(3)检查信息安全处理的原则、目标和要求的制度建设的完备性。重点检查:调阅与计 算机系统运行、安全保障和文档管理等相关规章制度,其范围除自行制定的制度还包括转发 的上级文件,审计是否建立必要的计算机安全制度,审核各类制度的科学性、严密性和可操 作性。
2.逻辑访问风险控制情况
(1)检查访问控制业务要求、策略要求和访问规则的制订情况。重点检查:通过阅读源 程序或第三方业务系统安全审计报告,确定该机构的业务系统是否制订访问控制的业务要 求、策略要求和访问规则,并确定其安全性、完备性。
(2)检查访问用户的注册管理制度。重点检查:是否制定了正式的用户注册和取消注册 程序,规范对所有多用户信息系统与服务的访问授权。是否使用唯一用户ID 使用户对其操 作负责(组ID 只有适合所进行的工作,才允许使用),用户离开组织时是否立即取消其用 户ID,是否定期检查并取消多余的用户ID 和帐户。
(3)检查访问用户的权限管理和权限检查流程。重点检查:是否建立了正式的用户的权 限管理和权限检查程序,系统所有者对信息系统或服务授予的权限是否合适业务的开展,所 授予的访问权限级别是否与组织的安全策略相一致,例如它会不会影响责任划分;用户因工 作变更或离开组织时是否立即取消其访问权限;用户权限设定是否采用双人复核;是否对用 户访问权限分配进行定期检查确保没有对用户授予非法权限。
(4)检查访问用户的口令管理。重点检查:是否采用了正式的管理程序来控制口令的 分配,是否确保一开始向他们提供一个安全的临时口令并要求他们立即更改口令,用户忘记 口令时是否在对该用户进行适当的身份识别后才能向其提供临时口令,是否还采用了其他的 用户身份识别和验证技术(如生物统计学中的指纹鉴定;建立新的用户,是否建立了申请审 批程序,并采用双人控制。
(5)检查访问用户的责任管理。重点检查:所有用户是否做到避免在纸上记录口令, 只要有迹象表明系统或口令可能遭到破坏时是否立即更改口令,是否选用高质量的口令,是 否定期更改口令。
3.网络安全控制情况
(1)检查网络管理和网络服务的安全策略制定情况。重点检查:通过调阅网络建设文 档或第三方网络安全审计报告,确定该机构是否制定网络和网络服务的安全策略,并确定此 策略是否业务访问控制策略相一致。
(2)检查实施网络控制的安全手段。重点检查:通过调阅网络建设文档或第三方网络 安全审计报告,确定该机构是否制定网络控制的安全途径,并确定实施控制的路径的要求是 否是业务访问控制策略所必要的,是否通过专线或专门电话号码联网,是否自动将端口连接 到指定应用系统或安全网关,是否限制个人用户的菜单和子菜单选项,是否防止无限制的网 络漫游,是否强制外部网络用户使用指定应用系统和/或安全网关,是否为组织内用户组设 臵不同的逻辑域(如虚拟专用网)来限制网络访问。
(3)检查外部连接的用户身份验证方法。重点检查:是否通过使用加密技术、硬件标记 或问答协议对远程用户访问进行身份验证,对于专线用户是否安装了网络用户地址检查工具 来对连接源提供安全保障,对拨号用户是否使用反向拨叫程序和控制措施(如使用反向拨叫 调制解调器)可以防止与组织信息处理设施的非法连接和有害连接。
(4)检查远程诊断端口的保护情况。重点检查:是否使用适当的安全机制(如密钥锁) 对诊断端口进行保护,保证它们只能在计算机服务管理员和要求访问的软硬件支持人员进行
3 适当的安排后才能访问。
(5)检查网络的划分和路由控制情况。重点检查:是否在网络内采用一些控制措施把 信息服务组、用户组和信息系统组分割成不同的逻辑网络域(如组织的内部网络域和外部网 络域),每个域都使用一个明确的安全界限来加以保护,是否在两个要互连的网络之间安装 一个安全网关可以实现这样的一个安全界限,从而控制两个域之间的访问和信息流动,是否 对该网关配臵,访问控制策略来阻止非法访问。
4.环境风险情况
(1)检查对保密设备和计算机机房进行安全保护的情况。重点检查:是否为保密设备 和计算机机房划分独立安全区域,安全保护区的没臵是否合理,是否建立全方位的安全防护, 以防止有人未经授权进入安全区。
(2)检查安全区出入的控制措施和制度制定执行情况。重点检查:通过查阅制度和各 类文字或电子台帐,确定该机构是否有完备的安全区出入控制,是否经常审查并更新有关安 全区域访问权限的规定,是否将安全区域的来访者的身份、进入和离开安全区域的日期和时 间记录在案,是否有严格限定,经过授权的人才能访问敏感信息,是否有专人对出入控制措 施和制度的落实情况进行定期、不定期的检查。
(3)检查安全区内设备使用和维护管理情况。重点检查:是否按专业标准安装入侵检测 系统对无人区域进行24 小时的报警监视,由该机构自己管理的信息处理设备是否与由第三 方管理的信息处理设备分开,是否将危险或易燃材料存储在安全的地方,与安全区保持安全 距离,应急设备和备份介质的存储位臵与主安全区域是否保持一个安全距离,以防止主安全 区域发生的灾难事件殃及这些设备。
(4)检查安全区的防雷、电和火等安全措施实施情况。重点检查:通过调阅相关检测 报告维护记录,确定安全区是非通过配臵不间断电源设备、采用双路供电系统、配备发电机 等手段保障不间断性供电;其采用的各种方式是否能满足业务系统不间断供电需求,是否按 相关法规要求配备消防系统并保证其正常运行,是否安装必要的防雷设施并按要求做好接地 系统。
5.操作系统风险情况
(I)检查对登录用户和终端设备的访问控制策略。重点检查:核心业务系统用机的操 作系统是否能验证每个合法用户的终端或位臵,是否记录成功和失败的系统访问,是否提供 适当的身份验证方法,是否根据情况限制用户连接时间。
(2)检查用户身份识别和验证方法。重点检查:所有操作系统用户是否都有一个个人 专用的唯一标识符(用户ID ),以便操作能够追溯到具体责任人,如业务系统必须可以为一 个用户组或一项具体工作使用共享用户ID,是否对此类进行严格的审批制度,并采用了相 应的控制措施,是否采用了先进安全的身份验证程序并建立相关安全机制以防止非法登录。 (3)检查系统的漏洞检测和补丁安装的情况。重点检查:通过相应的漏洞检测工具,确 定该机构是否操作系统的安全是否进行加固,是否安装系统补丁与更新程序,是否关闭不必 要的服务和端口,是否安装防病毒软件,文件共享的访问控制权限设臵是否适当,是否定期 为操作系统进行安全漏洞检测,以分析系统的安全性,并采取补救措施。
(4)检查事件的日志记录和评审分析情况。重点检查:是否启用操作系统的审计功能和 安全策略,是否按要求存事件的日志记录,是否确定专人定期进行安全评审分析,以查找非 授权的应用程序运行、非授权的共享、可疑程序和可疑进程,计算机时钟设臵是否正确以保 证审计日志的准确性。
6.应用系统的风险情况
(1)检查输入和输出数据的验证情况。重点检查:是否对应用系统的数据输入进行验证, 应用系统的标准数据调整及帐务数据修改是否规范,是否定期审查关键字段或数据文件的内
4 容,确认其有效性和完整性,是否检查硬拷贝输入文档是否有对输入数据进行非法变更(所 有对输入文档的变更应经过授权),是否明确规定参与数据输入过程的所有人员的责任。 (2)检查存储数据的加密措施实施情况。重点检查:是否对核心业务系统采取了相应 的加密措施,其加密措施是否合理,加密密钥管理是否严格,中间业务和延伸业务的传输数 据是否加密,导入是否配有安全审计,是否对数据介质进行安全保护,对存有重要数据的故 障设备外修时是否有本单位人员在场监督,设备报废是否清除相关业务信息,对已过安全保 存期限的介质是否及时更新复制,废弃的数据介质是否由专人及时销毁。
(3)检查测试数据的安全措施实施情况。重点检查:通过调阅系统测试文档,确定测 试数据是否避免使用包含个人信息的操作数据库,如果使用这类信息,那么是否在使用前应 该做非个性化处理,在操作数据用于测试目的时,是否每次使用不同的授权,将操作信息复 制到测试应用系统,是否在测试完成后立即将操作信息从测试应用系统中清除,是否记录操 作信息的复制和使用情况,以便提供审计追踪。
(4)检查源代码的访问控制和审查情况。重点检查:是否将程序源库保存在生产系统 上,为每一个应用程序指定一个库保管员,信息科技支持人员是否可以不受限制地访问程序 源库,正在开发或维护的程序是否保留在操作程序源库中,更新程序源库和向程序员提供程 序源是否通过指定的库保管员来执行,并且获得信息科技支持管理员的授权,程序清单是否 保存在安全的环境中,是否实时维护访问程序程序库的审计日志记录,是否对旧版本的源程 序进行归档,明确指明使用创门操作的准确日期和时间及所有支持软件、作业控制、数据定 义和过程,维护和复制程序源库是否受严格的变更控制程序的约束。
(三)信息科技项目开发和变更管理 1.项目开发管理
(1)检查被检查机构在信息科技项目开发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节的全周期管理机制。重点检查:制度建设是否对项目的审批流程、参与部 门的职责划分、时间进度、财务预算规划、质量检测、风险评估等内容进行严格规定;外部 技术资源申请是否有统一负责机构,如何授权职能处室进行归口管理。
(2)检查信息系统项目开发资料完备性。重点检查:系统项目建设是否成立项目工作 小组及其成员结构;系统建设项目需求说明书和项目功能说明书是否全面、系统;系统建设 完成后是否编写了操作说明书,是否具有项目验收报告;查阅被检查机构对新信息系统投产 后,所撰写后续评价,根据后续评价,检查有没有根据评价及时对系统功能进行调整和优化。
2.项目变更管理
(1)检查项目变更、系统升级和变更等环节的管理情况。重点检查:信息系统变更时, 是否制订严密的变更处理流程,明确变更控制中各岗位的职责,遵循流程实施控制和管理; 变更前有否明确应急和回退方案;变更方案件、变更需求、软件版本变更后的初始版本和所 有历史版本是否妥善保管。
(2)检查系统变更方案、变更内容核实清单等相关文档的正确性、安全性和合法性。 重点检查:对被检查机构系统升级和变更记录,变更后软件的初始版本和所有历史版本是否 妥善保管;对保留所有历史的变更内容核实清单进行核实;是否设定了独立的版本管理人员 复核版本的提交工作。
3.项目资料文档管理体系
重点检查:项目资料是否完整详尽,有无相应的档案资料的管理办法并执行;是否对项 目资料文档的管理情况进行定期审核,包括资料调阅、资料备份等;是否制定了项目资料文 档格式的标准化规范并执行。
4.系统设计开发外包缺陷管理
(1)检查业务外包管理制度、业务外包评估制度的制定执行情况。重点检查:对有关
5 外包风险的防范方法及措施,是否建立外包业务的应急机制,有无外包业务的应急计划和应 急预案。
(2)检查针对有关业务外包制定相应的管理和风险防范措施的情况。重点检查:是否建 立对承包方的评估机制;是否规定了代码编写规范和编码质量检查方案,从技术和编码两方 面对编码进行全面检查。
(3)检查被检查机构外包业务风险管理措施。重点检查:是否建立针对外包风险的应急 计划和预案,以确保在意外情况下能够实现承包方的顺利变更,保证外包服务不间断;是否 组织业务人员进行外包开发系统的培训以保障外包开发技术的移交工作。
(四)信息系统运行和操作管理 l.信息系统运行体系建设情况 (1)运行体系的组织架构
检查被检查单位信息系统运行管理的组织架构和日常运作情况,对组织体系的科学性、合理性和运作的有效性作出评体。重点检查:架构是否合理、组织是否严密、职责是否明确、监督是否有力、管理是否有效,反应是否迅速、是否具有相互制约的机制等等。 (2)运行体系的规划与制度
检查现有和计划投产的信息系统的运行规划的完备性。重点检查:生产故障和安全事件 的管理、职能部门及其职责、管理对象、事件报告、事件解决、事件反馈、汇总、分析、评 价和报告等。检查信息系统运行管理制度的完善性。重点检查:事件管理办法、问题管理办 法、变更管理办法、操作管理办法、数据管理办法、配臵管理办法、安全管理办法、机房管 理办法等。这些制度可以是自行.制定的,也可以转发上级的。重点审计制度的完整性、严 密性和可操作性,考察各项制度的贯彻、执行和落实情况。
(3)检查核心业务系统的持续性或阶段性监测情况。重点检查:建立核心业务系统持续 性或阶段性的监测、监控体系和系统性能的评估机制。
2.操作环境控制和预防性维护情况
(1)检查信息科技资产登记情况。重点检查:检查信息科技资产台帐是否包含完整和真 实的计算机资源配臵的静态基本信息和动态履历信息,是否做到帐帐相符、帐实相符,配臵 管理部门是否定期进行辖内计算机资源配臵台帐的清查核对。
静态基本信息包括:档案卡序号、计算机资源编码、型号、性能、具体配臵、满配能 力(如硬件的满配能力、可扩充性,软件的支持情况,配臵参数的极限等)、用途、使用部 门和使用责任人、维护责任部门和生产商、经销商、服务商等;
动态履历信息包括:计算机资源配臵在生命周期各阶段经历过的各种管理流程信息。其 中计划制订、设备采购、合同管理、库房管理、安装验收、申领使用以及后面的调拨迁移、闲臵报废以及计算机资源配臵的维护履历、配臵履历、包含操作时间、操作部门、操作用户、具体操作及变更情况等信息。
(2)检查信息系统性能和容量的管理情况。重点检查:是否建立信息系统软、硬件性 能、处理能力以及存储容量等监测和跟踪措施,保证系统性能和容量有足够的安全冗余,防 止应处理负荷过重或存储容量不足影响信息系统安全、可靠运行;在给定的时间段内是否出 现过因上述原因造成重要业务系统停顿的情况以及相应的损失情况并完整记录。
(3)检查各类连接的物理位臵和交互关系的系统拓扑图。重点检查:连接信息系统所有 电子设备物理位臵和交互关系的系统拓扑图与系统实际配臵信息、系统结构图与物理布局的 一致性。
(4)检查应急方案制定情况,重点检查:重要信息系统应急方案,评估应急方案的科 学性、可操作性和实用性;模拟演练的记录,重点检查发现的问题和解决情况。
(5)检查运行、操作环境建设情况。重点检查:计算机房和网络中心的建设、配臵是
6 否符合有关国家标准,是否设立了独立的安全保护区,是否建立进入安全区的授权、登记制 度。安全防范和控制措施是否到位;重要和涉密设备是否臵于计算机房内,并具有严格的安 全防范和风险控制机制。
3.生产变更管理情况
(1)检查准则和规章制度制定执行情况。重点检查:通过查阅有关文件和相应的制度, 了解生产变更的管理情况,着重了解是否明确了变更的职能部门以及相应的职责;是否制定 了相关的制度;制度的内容是否含盖了:变更申请、变更受理、变更方案、变更审批、变更 实施时间、变更实施、变更反馈和汇总、紧急变更、变更指标及评价、总结报告等关键内容 等等。
(2)检查审批授权机制和工作流程规范性。重点检查: ①生产变更的审批授权制度。生产变更是否按规定时间、要求报送审批部门审批或报备; 变更的实施是否得到授权;变更实施日期和时间是否符合制度规定等;对业务有可能造成影 响的变更,是否在变更实施前通知相关业务部门。
②工作流程。变更的工作流程是否合理、可行:是否贯穿变更申请一变更受理一变更方 案一变更审批一变更实施一变更反馈和汇总一变更指标及评价、总结报告等全过程,变更的 实施过程中是否严格按流程操作。
(3)检查登记、备案和存档情况。重点检查:查阅生产变更的档案,考察被检查机构 变更资料的登记、备案和存档是否规范。
(4)检查非计划性紧急变更的实施方案、备份和恢复制度。重点检查:非计划性紧急 变更实施前,变更牵头和实施部门是否制订简单的实施计划和验证、回退、恢复方案,其中 回退或恢复方案是否切实可行,风险是否可控;变更实施前是否进行相关的系统备份等。
4.信息科技操作风险控制措施
(1)检查风险控制机制和流程。重点检查:
①是否指定了各类应用系统的操作、管理工作流程,评估其合理性、规范性和科学性, 是否采用软件工具对各类生产系统实施了版本控制。
②操作人员的岗位职责是否明确,相应的规章制度是否到位,如:档案管理、安全生产 管理、数据管理、应用操作管理、运行监控管理等等;
③操作人员在上岗前的培训情况:如是否经考试合格后才独立上岗;当信息系统结构或 操作流程发生重大变更时,是否及时对操作人员进行再培训等;
④是否具备以下文字或电子资料:运行情况日报、各类运行操作手册、紧急重大情况的 应急处理流程、操作人员排班表和工作交接单、详细操作日志、所有服务对象和技术支持部 门及人员的通讯录等;
⑤操作人员是否严格按照操作规程进行操作,如双人、复核、授权等,是否建立操作日 志且真实记录所有操作过程,并由本人签字;操作人员有无违反操作规程的行为,如:擅自 变更操作方法和操作步骤、在生产环境做任何未经授权的操作、操作人员在操作完毕后或离 开操作终端前没有退出自己的用户等。
⑥运行管理和实施部门是否设臵固定的值班电话、传真和电子信箱。 ⑦是否建立了操作人员的交接登记制度及实际履行情况记录。 ⑧有关操作管理的档案管理情况。
(2)检查人力资源管理情况。重点检查:有关运行、操作、管理人员配臵的整体情况, 人力资源的有效利用和合理配臵程度,有关人员调离、岗位轮动的风险控制情况等。
(3)检查信息资料档案管理情况。重点检查:有关科技文档的收集、整理、移交、归档、保管、使用、鉴定和销毁等是否符合相关规定,科技信息资料档案管理是否规范。
5.日志管理情况
7 (l)检查日志采集情况。重点检查:核心业务系统日志采集的范围、内容、频度、方 法以及有关规定的合理性及完备性,对日志内容设臵的完整性、科学性作出评估、分析与实 际系统运行和操作过程的匹配程度。
(2)检查日志保存情况。重点检查:有关日志归档、保存的有关规定以及纸质、电子日 志资料的保管情况,考察日志保存、管理的规范性和安全性等。
( 3)检查日志调阅制度。重点检查:日志的调阅、查询是否有严格的制度,调阅日志是 否经过必要的授权并进行如实的登记等。
(4)检查日志管理岗位和人员设臵。重点检查:检查有关日志采集、保存、管理工作的 人员配臵等情况。
(五)业务持续性规划
1.董事会和高管层在业务持续性规划中的职责和工作机制情况
(1)检查业务持续性规划的政策、流程和职责制定情况。重点检查:高级管理层建立业 务连续性规划的相关政策、标准和流程的机制;高级管理层对业务持续性规划的重视程度, 及其在业务持续性规划中的职责和作用。
(2)检查业务持续性规划的组织机构及职责制定情况。重点检查:是否已建立业务持 续性规划的各个组织机构,并明确其职责。业务持续性规划的组织机构由管理、业务、技术 和行政后勤等人员组成,应分为灾难恢复规划领导小组,灾难恢复规划实施组和灾难恢复规 划日常运行组。
(3)检查业务持续性规划的报告机制。重点检查:是否建立业务持续性管理相关事项的 报告制度,并及时向董事会和高级管理层报告实施状况、事件、测试结果和相关行动计划等 事项;是否出现过重大营运停止的事件并及时向银监会上报。
(4)检查业务持续性规划的评估机制。重点检查:业务持续性管理是否经过独立机构的 审查和评估,例如内部或外部审计,对业务连续性规划的有效性进行定期评估;针对发现的 问题作出何种整改措施。
2.业务持续性规划的制定和实施情况
(1)检查业务持续性规划的需求分析情况。重点检查:是否进行充分的潜在风险分析; 对风险的可能性和危害性有否做全面的分析,并针对风险提出合理的防范措施。
(2)检查业务持续性规划策略的制定情况。重点检查:是否进行充分的业务影响分析。 业务影响分析是否包括了客户、银行人员、声誉、内部运行以及财务和法律等方面的影响, 应采用定量和/或定性的方法,对各种业务功能的中断造成的影响进行评估;是否已确定 在灾害发生时必须保证持续有效运行的重要业务部门和后台部门,是否确定灾害过程中 银行对外提供重要服务的最低要求。
(3)检查灾难恢复应急预案的恢复策略和目标的建立情况。重点检查:
1) 关键业务功能及恢复的优先顺序、恢复计划的时间进度表;
2) 灾难恢复时间范围,即RTO(业务恢复时间目标)和RPO(业务恢复点目标)
的范围。确定每项关键业务功能的灾难恢复目标和策略,不同的业务功能可采用不同的 灾难恢复策略,也可采用同一套灾难恢复策略。
(4)检查灾难恢复等级的划分制定清况。重点检查:是否已把灾难恢复涉及资源分为7 个要素:数据备份系统、备用数据处理系统、备用网络系统、备用基础设施、技术支持能力、运行维护管理能力、灾难恢复应急预案,并详细说明各要素的具体要求。
(5)检查灾难恢复应急预案的执行情况。重点检查:是否已进行测试和演练,评估效果 如何。
3.备份中心的管理和操作情况
(1)检查备份中心的建设情况。重点检查:灾备中心的能力否满足其业务持续性规划的
8 要求,着重从以下几个方面进行了解:数据备份系统、备用数据处理系统、备用网络系统、备用基础设施、技术支持能力、运行维护管理能力。
(2)检查备份中心能力。重点检查:应确保省域以下数据中心至少实现数据备份异地 保存,省域数据中心至少实现异地数据实时备份,全国性数据中心实现异地灾备。
(3)检查外包备份中心的管理。重点检查:对外包灾备的管理是否到位。是否有充分的 资质证书和能力证明,金融机构如何考虑到对外包服务过分依赖导致的风险。
4.业务持续性规划的测试和维护情况
(1)检查业务持续性规划培训计划的实施情况。重点检查:是否已组织业务持续性规 划的教育培训工作。
(2)检查业务持续性规划测试的情况。重点检查:测试方案和计划、测试结果情况及 整改情况
(3)检查变更维护情况。重点检查:是否有良好的业务持续性规划变更维护。业务流 程变化、信息系统的变更、人员的变更是否在业务持续性规划中及时反映;预案在测试、演 练和灾难发生后实际执行时,其过程是否有详细的记录;是否对业务持续性规划定期评审和 修订。
(4)检查业务持续性规划文档的存取管理制度制定情况。重点检查: ①是否由专人负责保存与分发;
②是否具有多份拷贝在不同的地点保存;
③是否已分发给参与业务持续性规划工作的所有人员;
④在每次修订后是否将所有拷贝统一更新,并保留一套,以备查阅,原分发的旧版本应 予销毁。
四.检查依据
(一) 资料调阅清单
1.信息科技公司治理和组织结构 (1)信息系统风险自查报告
(2)金融机构信息系统管理建设情况问卷调查表 (3)金融机构有关科技规划、项目建设类制度; (4)有关岗位责任制;
(5)贯彻落实国家和银监会有关信息系统管理制度的实施细则; (6)行长会议研究科技工作会议记录; (7)全行性科技工作会议记录; (8)科技培训记录; (9)公司章程;
(10)董事会及各科技信息相关专业委员会职责和工作制度 (11)董事会有关科技信息工作和系统建设的会议记录 2.信息安全管理
(1)有关信息安全的组织及工作制度;
(2)审计部门或发现控制部门对信息资产风险评估报告; (3)对外承包或服务提供商的有关合约; (4)访问风险控制策略和规则的业务说明; (5)访问用户的安全策略及管理;
(6)重要操作系统的访问、漏洞扫描和日志时间记录及评审; (7)应用系统用户访问、数据存储和文件存放的安全设计文档; (8)控制环境风险的规章制度和具体措施;
9 3.信息科技项目开发和变更管理 (1)检查行内不科技信息管理制度 (2)项目验收报告
(3)产品测试记录及有关报告材料 (4)项目需求说明书 (5)项目验收报告
(6)系统修改或升级或变更记录
(7)系统外包风险评估报告或有关材料 (8)业务外包协议、合同 (9)外包风险的应急计划 4.信息系统运行和操作管理
(1)运行管理组织成立和有关人员任命的文件集相关会议记录等材料; (2)重要信息系统运行规划书;
(3)有关信息系统运行管理的各项规章制度、实施细则及上级机构的规范性文件等; (4)信息资产台帐(包括:软件、硬件配臵资料、系统拓扑图等); (5)重要信息系统的应急方案;
(6)系统运行日志、机房出入激励、运行管理部门值班记录等; 5.业务持续性规划
(1)管理章程(包括负责部门、策略及流程等) (2)各组织和小组人员名单 (3)外部评估报告 (4)年度报告
(5)风险和业务影响分析报告 (6)灾难恢复策略和等级 (7)灾难恢复应急预案 (8)备份中心管理制度 (9)备份中心建设目标 (10)培训方案
(11)测试方案及测试报告 (12)变更文档 (13)外包情况说明
(二)检查应用规章制度
(1)《银行业金融机构信息系统风险管理指引》 (2)《金融机构计算机信息系统安全保护条例》 (3)《国家计算机信息安全保护条例》 (4)《电子银行业务管理办法》 (5)《电子银行安全评估指引》
(6)《电子银行业务的风险管理原则》 (7)《网上银行银行业务管理办法》 (8)《重要信息系统灾难恢复指南》 (9)《保证业务持续性的高标准原则》 (10)《国家突发公共事件总体应急预案》
(11)金融机构自行制定的科技管理、开发、运行、安全、保密、外包等规章制度__ 10
第二篇:银监分局执法监察自查报告
**银监分局关于对行政执法工作自查情
况的报告
**银监局:
根据**银监局《关于对***银监分局开展执法监察的通知》精神,党委高度重视,召开专题会议研究布臵了自查工作,成立了由主管局长为组长的自查组,按照《中国银行业监督管理委员会行政许可实施程序规定》的具体要求,对我分局自成立以来的行政执法及实施的行政审批、行政处罚和内部控制管理制度执行情况进行了全面自查。现将我分局行政执法自查情况报告如下:
一、基本情况 (一)自查组织情况
**银监分局党委高度重视此次行政执法自查工作,为确保自查工作效率和质量,召开专题会议进行部署和安排。一是分局党委召开两次专题会议,认真学习和领会《通知》精神,并对自查的内容及具体要求进行了细致的讨论,统一了自查口径和标准,为本次自查的开展奠定了坚实基础。二是严格按照执法监察的程序要求,统一操作方式、统一操作程序,制定切合实际的自查方案,并在各监管部门自查的基础上,分局组成以主管局长为组长的自查组,进行了全面认真的复查。三是分局抽调各有关部门业务骨干组成6人检查组,对3个监管部门行政审批、行政处罚和内部控制制度等工作的实施情况进行了全面检查。
(二)自查实施情况
分局自查组于2008年6月29日至7月3日期间,对各执法部门的行政执法情况进行了一次全面自查,主要采取了“看、问、查”
等方式。调阅各监管部门现场检查档案、高管人员档案、机构档案、行政处罚资料及各项内部控制管理制度等。本次检查共投入了30个工作日,检查现场检查档案34卷,高管人员档案40卷,机构档案34卷,各项内部控制管理制度2册。
(三)行政执法工作开展情况
**银监分局成立以来,十分重视行政执法的合规性和严肃性,积极发挥执法监察的监督作用,不断提高内部管理水平和执法效率。一是认真开展行政执法监察工作。按照《银监会执法监察工作暂行办法》和**银监局制定的《执法监察操作指引》,结合分局工作实际,认真选题立项,并根据立项内容认真研究,制定执法监察方案,掌握执法监察的方法和工作程序,注重执法监察效果,认真开展执法监察工作。自2004年至****年6月20日,分局纪委先后对**、**、**监管办事处,分局机关办公室、财务科、统计信息科、监管一科、监管二科、监管三科等部门依法监管、履职行为情况进行执法监察。二是加大后续检查工作力度,注重对问题的整改。认真督促监管部门切实落实执法监察整改措施及意见,落实遗留问题的处理,并将执法整改工作纳入监管部门年终考核目标。所有执法监察项目做到有报告、有建议,被查单位有反馈、有整改,杜绝了前查后犯、屡查屡犯的现象。
(四)行政执法实施情况 1.行政审批事项
**银监分局自****年至****年6月20日,共受理各类行政审批事项达280项。其中,机构类行政审批事项 140项(准入3项、退出63项、升格14项、改制7项、变更53项);高管人员任职资格审核类事项140项(核准131项、缓办5项、否决4项)。
2.行政处罚事项
我分局成立以来,加强了依法合规监管措施,实施各类行政处罚17项,其中采取经济处罚4项,处罚金额42万元;行政警告13项。
(1)****年2月6日,对**县邮政局储蓄机构,存在变相提高利率吸收存款的违规行为,依据《金融违法行为处罚办法》的相关规定,给予了5万元经济处罚。
(2)****年7月11日,对**县邮政局储蓄机构,存在变相提高利率吸收存款的违规行为,依据《金融违法行为处罚办法》的相关规定,给予了10万元经济处罚。
(3)****年7月28日,对农业银行**县、**县及裕民县支行因违规预收农户贷款利息一事,按照《金融违法行为处罚办法》的相关规定,对**县、**县两个县支行分别给予了15万元和12 万元的经济处罚;鉴于裕民县支行能够及时反映违规事实,并积极配合监管部门的工作,对其给予了行政警告。同时责令其上级单位对上述三个支行的负责人进行了责任追究。
(4)****年9月2日,对工行**地区分行,存在以个人消费贷款名义发放公司生产经营性贷款的违规行为,给予了行政警告,并责令其追究责任人3人。
(5) ****年7月14日,对**、**、**、**、**5个县市邮政局储蓄机构,内控制度存在的风险隐患和违规问题,分别给予了行政警告。
(6)****年6月至8月期间,对辖区**、**农村银行实施风险点后续检查中存在整改工作不彻底的问题,分别给予行政警告。
(7)****年4月至6月期间,对**市农村银行存在违规吸收股金和违法审慎性经营原则超资本金比例发放贷款的违规行为,给予两次行政警告,并责令其追究责任人4人;并对**县农村银行因对风险提
示工作不重视,未及时对风险隐患采取措施和整改,对其给予行政警告。
(8)****年4月24日,对**县农村银行,在发放农户贷款过程中存在违规收取保证金的行为,给予了行政警告,并责令其追究责任人4人;
(五)内部控制制度管理情况
为加强行政审批程序的制度化,规范依法监管行为的程序化,我分局不断修订、完善各项制度和规定,规范行政审批行为,严密操作流程,使行政审批工作有法可依。一是制定各项内部控制管理制度,统一行政审批流程。分局于****年初制定了《**银监分局内部管理制度汇编》,细化了行政许可事项审批流程,对各类行政审批事项的基本条件、审批流程、监管部门的审批时限等进行了规范。二是修订和完善行政审批制度规定。****年,根据银监会行政许可事项(1.2.3号令)的有关规定,对现有的行政审批制度进行了修订、完善,制定了《**银监分局内部管理制度汇编》第二册,同时,行政许可事项执行先办理受理手续再审批的制度,从而提高行政审批效率。
二、自我评价
**银监分局成立以来,依法监管取得了阶段性成效,在提高依法监管意识,加强监管制度建设,规范监管行为方面都取得了长足进展。行政执法水平和法律服务能力不断提高,并在履职中有效地规避了法律风险,对推进分局各项监管工作迈上新台阶发挥了积极作用。
(一)提高认识,加强对行政执法工作的组织领导。一是分局各监管部门能够深刻理解和牢牢把握银监会提出的监管理念、监管目标和监管标准,努力用新的监管理念指导行政执法工作的开展,克服各种困难,最大限度地做好了依法监管工作。二是为有效落实行政执法公正性和透明度,分局内部设臵了监管例会制度和行政处罚委员会制
度,对分局的各项行政审批和行政处罚事项进行全程审查和监督,杜绝了行政审批逆程序操作和超权限审批的现象。同时,把既懂监管业务又熟悉法律法规的业务骨干纳入监管例会和行政处罚委员会的成员,有效地规避了法律风险,确保了分局行政执法工作有条不紊的开展。
(二)认真贯彻落实行政执法工作,自律监管效果明显提高。一是以监管制度规范监管行为,确保监管目标的实现。认真做好政策法规的解读工作,增强法制观念,强化法制意识,切实加强对银行业监管法律法规的学习;二是做好实施细则和贯彻意见的制定工作。依据银监会颁布的规章和规范性文件,结合**银监分局的实际,及时制定实施细则和贯彻意见,确保规则得到有效落实;三是加强政策法规执行情况和依法监管的执法监察。自分局成立以来,对分局3个办事处和6科室的政策法规执行情况和依法监管情况进行全面检查,并对政策法规执行情况和依法监管情况进行综合评价,提出整改意见30多条。
(三)加大对违法行为的处罚力度,行政处罚效果逐步显现。一是各监管部门在对被监管机构实施行政处罚行时,严格遵守《行政处罚办法》的相关规定,以检查事实为依据,以政策、法规、规章制度为准绳,依照法定程序,遵循公正、公开的原则,并在行政处罚作出之前进行充分的调查取证,确保处罚的合法性,并对额度大的经济处罚,均征求了**银监局法规部门的意见。二是对于违反审慎性原则,违规经营的银行机构,采取依法警告的监管措施,确保银行业金融机构的依法、稳健运行。促使辖区各银行业金融机构依法合规经营意识明显增强,金融从业人员从业行为逐步规范。对我分局成立以来实施的4项经济处罚,均未提出行政复议。
(四)讲求时效,建立行政执法后评价机制, 及时更新制度。各监管部门结合监管工作实际,注意收集对新增监管法律、法规、规章及重要规范性文件,分析、研究现行及新颁布法律、法规、规章及重要规范性文件实施和执行中的新情况、新问题,提出具体的改进建议和意见,为各项内部管理制度的“设立、修改、废止”提供了依据。
(五)强化培训,增强监管人员依法行政的法规意识。一是通过自行举办法规业务知识培训班,不断提高分局监管人员的政策法规工作水平,促进其依法开展各项监管工作。如分局成立以来举办了4期有关法律法规业务的培训班。二是积极参与**银监局举办的各类业务培训班,进一步提高了分局监管人员的业务水平。三是分局办公室内设法律事务工作岗位,配备专职人员,对分局的各项行政审批事项进行全程督导和审核,促进行政审批工作的有序、合法合规地开展。
(六)促进辖区银行业的改革,提高行政审批工作效率。 1.促进辖区银行业的改革和发展。一是主动指导和支持我区邮政储蓄机构改革工作,督促其成立邮政储蓄银行**分行筹建领导小组,要求认真做好邮储银行**地区分行开业前的各项准备及开业工作,对辖区邮储银行筹建方案进行认真审查,初审和核准邮政储蓄银行分支机构16家。二是指导辖区农村银行按照有关规定,按时改制为统一法人机构,并督促建立和完善“三会”制度,促进其法人治理结构的完善。三是支持国有商业银行深化基层分支机构改革,优化网点布局,提升服务功能。目前共审批国有商业银行9个分理处升格为支行。
2.严格高管人员行政许可准入关,积极探索高管人员履职考核机制。一是在高管人员任职审批前充分征求各方面的意见,突出对拟任人员思想品德、业务素质和廉洁自律等方面的审核,并对新任高管人员进行资格考试和任前谈话,严把高管人员准入关。二是做好对异地任职高管人员的监管评价。4年来,共发出征求意见函4份,回复2
份。三是为实现对高管人员全程动态监管,创新高管履职考核方式,于****年3月下发了《**地区农村合作金融机构高级管理人员履职考核办法(试行)》,该办法从履职行为、经营管理水平、管理能力以及配合监管工作等方面对银行业机构高级管理人员进行年度履职考核。通过高管履职考核,辖区高管人员依法合规经营管理意识、知识水平和履职行为都有不同程度的提高,为全面提升银行业机构经营管理水平奠定了良好的基础。
3.进一步规范市场准入工作,提高行政审批工作效率。一是严格执行行政许可事项的工作流程,明确了监管部门实施行政许可的工作流程、具体职责和时限要求。二是在市场准入工作中注重与现场检查、非现场监管、案件专项治理等监管工作的联动,形成监管合力。4年以来累计审核银行机构140个,组织辖区199个银行业机构进行新版金融许可证的换发工作。三是组织辖区银行机构就机构高管准入系统升级工作进行培训,组织对系统数据进行审核。
(七)大力推动银行业金融创新活动,推动和建立非法集资协调工作机制。一是邀请商业银行业务骨干进行授课,介绍银行创新思想、创新产品和管理经验,收到良好效果。二是组织银行业机构开展“行社进社区乡村”活动,深入社区和乡村举办金融知识、产品推介和消费者保护等方面的宣传活动,取得了较好的宣传推动效果。三是推动和建立非法集资协调工作机制,组织召开处臵非法集资联席会议,并加强与公安、工商等部门的沟通协作,组织开展打击非法集资宣传活动。
三、存在问题及整改措施
通过自查,分局在机构、高管人员任职资格的行政许可事项中还存在一些薄弱环节和不规范问题。
(一)部分行政审批事项档案中,缺少监管例会议案表。
(二)行政审批程序有待进一步规范和完善。如个别行政审批事项,未及时下发受理或不受理的通知书等。
(三)对拟迁址机构的批复内容不全面,未对拟迁机构的消防、安全、公告、金融许可证等事项做出明确要求。
(四)申请材料不规范、不齐全。如个别机构网点迁址申请中,未附消防部门验收合格的证明。
(五)个别“机构变更申请表”中,填写的要素不全,缺少监管部门初审意见。
(六)近年来各项法规制度出台较多,修改频繁,制度缺乏稳定性,造成监管人员在理解和执行中存在一些偏差。
针对自查中查出的上述问题,我分局已进行了整改,并将在今后的工作中:一是强化监督检查工作,督促监管部门要将行政审批基础工作做精、做细,要求监管人员加强各项行政审批与处罚事项法律法规的学习,适时做好行政审批事项的档案资料的收集、整理、装订、归档工作;二是充分发挥分局纪检监察部门行政执法监察工作的再监督作用,进一步建立健全作风建设监督评议机制,坚持和完善行风评议、监督卡等制度,改进和创新监督方法。通过建立执法监察监督工作长期化、制度化、规范化机制,防止监管权力的不当使用和滥用,防止利用职权违纪违法的案件和监管不作为、乱作为等损害监管对象与公众利益的问题的发生,维护银监会公正监管的权威和良好形象,切实增强监管人员依法行政的意识,进一步提升分局依法行政水平;三是加强分局法律事务办公室政策指导工作,严格把关,督促监管部门严格行政审批工作,规范审批流程;四是全面提高监管人员和的执法监察人员业务素质。采取多种形式提高银监执法监察工作人员自身的业务素质,以适应日益发展的金融业务环境。对人员培训做到监管法规和监管业务相结合、远程教学与现场指导相结合。通过不断的培
训,使监管人员能够胜任履行监管职责的需要,改变目前在一定程度上存在的监管人员在行政执法中力不从心的局面;五是不断提高监管工作的透明度。根据政务公开的相关要求,及时向公众和银行业金融机构公布办事程序和条件,将监管的过程和结果尽可能公开,按要求披露监管信息,在“阳光”下操作,最大限度地保证监管对象和社会公众的知情权、参与权和监督权,促使监管人员自觉地依法行政。
第三篇:工作报告之银监检查整改报告
银监检查整改报告
【篇1:平安银行监管意见整改报告】
平银发?2011?446号签发人:叶望春
平安银行关于2010年度监管意见的整改报告
中国银行业监督管理委员会深圳监管局:
接到贵局下发的《平安银行2010年度监管意见》(深银监发
【2011】155号)后,我行董事会与总行领导高度重视。叶望春代行长立即组织有关条线和部门召开了专题会议,学习、领会监管要求,针对已改进情况,讨论部署下半年的整改工作,制订了全面细致的整改计划,明确了责任部门、责任人和时间表,采取有效措施,及时推进整改落实。
一、上半年经营管理情况
面对今年复杂多变的宏观经济金融形势与微观市场环境,我行继续贯彻“管控、增长、服务”的指导思想,努力克服两行合
并带来的种种不利因素,采取各种综合性经营管理措施,确保今 年上半年经营业绩稳健快速,业务规模与管理水平再上新台阶。截至2011年6月末,我行资产总额超2860亿,存款总额超过2000亿,较年初增加280亿,增长15%;不良贷款率0.32%,保持行业领先水平;拨备覆盖率提升至286%,比年初提高75个百分点。上半年实现净利润12.14亿元,增长35%;资本利润率15.56%,较2010年同期提升3.25个百分点;净利差较之2010年提升31个基点,成本收入比较去年同期下降4.6个百分点,各项盈利性指标改善明显。资本充足率保持10.8%,符合监管要求。同时,在各项业务稳步发展的同时,我行进一步深化与完善内控机制建设,狠抓风险管理,确保今年上半年无案件、无重大风险事件发生。
在取得成绩的同时,我行也充分认识自身经营管理过程中存在的不足, 今年下半年将严格按照贵局的监管要求,努力落实好各项监管意见。
二、整改措施与行动
(一)进一步优化公司治理
监管意见:要按照《商业银行稳健薪酬监管指引》 的要求,不断完善考核制度,建立与长期风险责任挂钩的薪酬激励机制。要加快从规模考核转变为风险调整后的综合效益考核,从单线考核发展为双线考核,从阶段性考核转变为周期性考核,建立与完整业务周期相匹配的薪酬机制,促进各级分支机构经营行为的长期化,充分发挥薪酬在公司治理和风险管控中的导向作用。 整改措施及行动:
从2010年的年终奖发放开始,我行已将重要管理干部的奖金延期三年平摊支付,包括总行班子成员和总行风控、稽核负责人,以强化对经营负主要责任的关键岗位管理干部的长期稳健的经营理念,进一步巩固其风险防范和管理意识。
2011年起,除总行班子和总行风控、稽核负责人之外的其他管理人员,其部分年终奖提前至每个季度发放,强调业绩的平稳发展,而非某个月或某个季度的“突飞猛进”,将稳健、持续经营的管理思想尽可能地扩大至最大范围。
除此之外,我们正在积极探索多维度的考核内容。一是淡化规模和总量考核,增加对收入结构优化、业务结构优化、人均效能等质量指标;二是增强绩效考核机制对鼓励创新的引导作用,鼓励分行积极参与产品创新及服务创新;三是加大对特色经营指标的考核力度,坚持走差异化发展道路;四是结合当前关注的重点风险防控要求,建立专项风险管理考核评价体系。
下半年,我们将继续贯彻和落实前两项举措,同时也将试行多维度的考核方案,确保业务的健康发展,达成监管要求。
监管意见:要按照职责界面清晰、制衡协作有序、决策民主科学、运作规范高效、信息及时透明的原则,合理配臵高管团队,推动公司治理和内部管理的持续完善。
整改措施及行动:
我行董事会及下设相关专业委员会一直按照委员会职责、《议事规则》及董事会对专业委的授权进行规范运作。上半年已采取措施包括:
1.董事会年度会议上提出了“两行整合”时期要持续、稳定、健康发展的工作要求。
2.在配臵高管团队方面,我行按照法规和法律程序要求,经过董事会提名委员会提名推荐、董事会审议通过等方式,增加聘任了一名总行副行长,使总行副行长人数达到3名。
3.在薪酬激励方面,薪酬委员会对全行奖励方案、高管奖励方案、长期激励方案、人力成本预算等重要议案进行了审议,并按照要求提交董事会进行审议。
上述整改措施,促进了高管团队按照分工明确、职责清晰、协作制衡的原则,执行和落实董事会的各项决策,保障了本行在“两行整合”过渡时期实现健康、稳定的发展;充分发挥了薪酬机制在对员工、高管激励方面的正向引导作用,促进了内部管理的完善。
鉴于当前两行即将合并的现实,今年下半年,董事会及下设相关专业委员会,将继续通过召开会议审议相关议案、调研和审阅报告等相关形式,按照公司治理架构的要求规范运作,在授权范围内积极有效地开展工作,切实履行职责,实现科学决策。
(二)加强资本管理的前瞻性
监管意见:你行要在综合考虑两行吸收合并与外部监管约束的基础上,制定切实可行的资本规划,并根据监管环境和要求的变化,灵活调整和不断完善资本管理目标和手段,充分发挥资本在约束增长冲动和优化资源配臵等方面的作用,建立健全稳定、高效的资本补充渠道和机制。
整改措施及行动:
我行始终高度重视资本管理,但是今年上半年,受两行合并影响,我行资本补充渠道受限。在此情况下,我行制定了2011年资本管理规划。在发展业务的同时,积极采取各项措施,努力提高资本充足率。一是加强表内风险资产的限额管理;二是积极增加表内外业务风险缓释;三是加强债券市值监控;四是努力提高盈利能力,增加内部利润积累。截至2011年5月,我行资本充足率为10.74%,核心资本充足率8.87%,较年初分别下降22个基点和42个基点,资本消耗速度远低于2010年。
今年下半年,我行将主要采取如下措施继续强化资本约束理念,加强内部资本管理。一是根据未来业务发展规模,完善资本管理规划;二是挖掘自身盈利能力,增加内部利润积累,有效补充核心资本;三是参考加权风险资产收益率指标,采取分条线的加权风险资产限额管理,有效降低无效加权风险资产占用;四是增加风险缓释比例,进一步降低加权风险资产占用;五是全面清理平台贷款,避免多余加权风险资产计提;六是ftp向资本占用较低的业务倾斜。通过采取上述措施,我行将努力确保全年资本充足率控制在10.5%以上。两行吸收合并后,我行将根据业务规划,进一步完善并健全资本补充渠道和机制。
(三)严防信用风险,增强对重点领域的风险管控
监管意见:继续推进政府融资平台贷款清理规范,严防后续风险。一要严格控制增量,落实贷款“三查”制度,统筹考虑平 【篇2:关于农村中小金融机构现场检查工作的整改报
告】
关于农村金融机构现场检查
工作的整改