支付系统运行风险防控“三道防线”探索
栏目编辑:梁丽雯 E-mail:liven_01@ 2017年·第4期 5151 Research|支付清算 支付系统运行风险防控 “三道防线” 探索* ■ 中国人民银行昆明中心支行清算中心 朱卫兵 2016年10月20日, 中国人民银行范一 飞副行长在第 五届中国支付清算论坛上指出, 我国支付清算产业是 一个新兴产业, 面临的机遇与挑战并存, 要强化安全 防控, 进一步加强和改进机构内控治理, 建立健全包 括运维、 风控和审计在内的 “三道防线” 。 为落实总行领导指示, 昆明清算中心深入研究 “三道防线” 的实质和内涵, 结合多年实践“控制型 管理” 的经验和成果, 组织开展了支付系统风险防控 “三道防线” 实现方式的研究, 为提高支付系统运行 管理水平提供有效手段, 在加强和改进机构内控治理 方面走出一条新道路。 一、 金融机构提出 “三道防线” 的历史回顾 1997年, 人民银行发布了 《加强金融机构内部控 制的指导原则》 , 要求金融机构建立完善的内部控制 制度, 建立一线岗位监督、 部门岗位制衡及监督部门 监控等 “三道防线” , 其防控对象主要是 “防案件” 。 该指导原则于2002年被废止。 2008年, 财政部、 银监会等五部委联合发布了 《企 业内部控制基本规范》 , 虽未明确提出 “三道防线” 的 要求, 但为金融机构设置 “三道防线”提供了新的思 路和指南。 随着风险管理理论与实践的发展, 防控对 象逐渐从 “防案件” 发展为 “防风险” 。 摘要: 央行支付作为社会资金运转的 “大动脉” , 其安全稳定运行的重要性日益突出。 本文按照人民银行总行 提出的建立支付系统 “三道防线” 的工作要求, 以支付系统城市处理中心的运行管理工作为实例, 从运维、 风控和审 计3个层面提出了防线的设立思路, 从制度建设、 流程控制、 痕迹管理等10个环节设计了防线的实现方式, 探索出一 个可复制推广的系统运行 “三道防线” 建设模式, 进一步强化系统安全防控, 改进机构内控治理, 切实提高支付系统 规范化管理水平。 关键词: 支付系统; 风险防控; “三道防线” 作者简介: 朱卫兵 (1969-) , 男, 云南曲靖人, 工程师。 收稿日期: 2017-02-04 *本文仅代表作者个人观点, 不代表作者所在单位意见。 栏目编辑:梁丽雯 E-mail:liven_01@ 2017年·第4期 5252 Research|支付清算 在实践中, 不同的金融机构基于对 “三道防线” 的 不同理解, 设置了不同的防线。 事实上也应如此, “三 道防线” 的设置不可能千篇一律, 而是要根据机构性 质、 业务流程、 风险危害等方面的不同特点进行精确 定位、 精准设置。 二、 支付系统 “三道防线” 设立思路 (一) 支付系统业务特点 1. 系统多, 业务量大 目前清算中心运行的系统主要有大额支付系统、 小额支付系统、 网上支付跨行清算系统、 电子商业汇票 系统和支票影像交换系统等。 以2016年为例, 云南省 支付系统共处理业务1.16亿笔, 清算资金39.99万亿元; 日均处理业务35万笔, 清算资金1 582亿元。 2. 运行时间长, 运行标准高 大额支付系统 “5×8.5” 工作日运行, 为适应CIPS 发展, 运行时间有不断延长的趋势; 小额支付系统、 网 上支付跨行清算系统、 电子商业汇票系统和支票影像 交换系统 “7×24” 小时不间断运行。 据人民银行总行 清算总中心2016年四季度运行例会通报的消息, 总行 下达的最新系统可用率标准将由原来的99.9%调整为 99.999%, 即1年中可容忍的中断时间由8小时缩减为2 分钟, 运行标准大幅提升。 3. 涉及面广 , 风险点多 城市处理中心向上通过国家处理中心与全国所有 金融机构相连, 向下与本地所有法人金融机构相连, 作为资金 “大动脉” , 既涉及计算机软硬件、 网络、 机 房环境等的技术管理, 又涵盖业务操作、 业务指标等 业务管理, 环节多、 风险多, 一旦出问题, 将影响全省 甚至全国各行业务办理及客户体验。 (二) 支付系统建立 “三道防线” 的思路 针对支付系统的业务特点, 笔者认为 “三道防线” 的建立要兼顾空间维度和时间维度。 空间维度要覆盖 所有的系统、 所有的运维操作、 所有的关键点; 时间维 度要保持全天候业务连续、服务连续。 因此, 设计的 支付系统 “三道防线” 的建设思路如下。 建立第一道运维防线,规范日常运维操作,从 “面” 上预防风险。 依据制度要求, 制定和固化日常运 维操作流程, 使其可复制、 可继承, 实现日常运维操作 的制度化、 流程化、 规范化, 确保所有日常运维操作没 有遗漏, 不会因为人员的不同而导致操作不同, 不会因 为换岗而导致工作无法开展, 变事后处理为事前预防 和事中控制, 变被动维护为主动维护。 建立第二道风控防线, 抓住关键环节, 从 “点” 上 控制风险。 找准运维工作中的关键点、 风险点 (包括计 算机软硬件、 网络、 机房环境等设备设施的安全性, 也 包括人员日常运维操作等的规范性) , 有针对性地进 行监督检查, 有效控制关键点、 风险点, 确保安全。 建立第三道审计防线, 利用外部检查审计, 从其 他视角评估风险。 借助外部审计、 外部检查和第三方 检测等手段进行监督, 从外部视角进行客观评估, 确 保运维管理和风险控制的全面性、 科学性, 进一步强 化第一、 第二道防线。 三、 支付系统 “三道防线” 的实现 支付系统 “三道防线” 共设置有10个环节, 形成10 份规范性的记录材料(如图1所示) 。 (一) 第一道运维防线的实现 第一道运维防线设置4个环节, 一是梳理工作事 项, 对部门工作事项内容进行描述, 划定防线范围 (见 表1所列) ; 二是梳理制度, 对应工作事项列出上级、 本 级相关业务、 技术管理制度; 三是梳理流程, 将制度中 的流程描述绘制成流程图, 标注出执行人、 执行要求 等要素(如图2所示) ; 四是制定记录表, 对流程图中 的操作结果进行记录。 通过以上4个环节的落实, 将形成工作事项列表、 栏目编辑:梁丽雯 E-mail:liven_01@ 2017年·第4期 5353 Research|支付清算 制度列表、 流程列表和记录列表4个列表, 形成“制度 管人、 流程管理、 痕迹管理” , 提高城市处理中心支付 系统运行管理的制度化、 流程化、 规范化水平, 强化内 控管理。 (二) 第二道风控防线的实现 第二道风控防线设置3个环节, 一是定位关键点、 部门工作事项具体内容制度依据行使主体对应流程对应记录风险点及检查方法 技术 维护科 系统日常 监控 对支付系统运行 情况进行监控, 发 现异常及时报告、 及时处理 1 .《 中 国 人 民 银 行 支 付 系 统 运 行 管 理 办 法 》 2.《昆明CCPC运 行维护监督检查办 法》 1.技术保障人员 2.技术值班人员 1. 系统日常监控 流程图 2. 系统维护工作 流程图 3. 技术值班工作 流程图 1. CCPC