近年来,交通银行顺应中国企业“走出去”、人民币国际化、“一带一路”等国家战略和全球化趋势,国际化业务实现跨越式转型发展,境外机构布局不断完善,业务经营范围不断扩大。伴随着国际化战略的持续推进,境外信息科技合规风险也日益增加,信息科技工作唯有坚持合规稳健的主基调,不断加大信息安全管理力度,建设适应全球化时代的信息系统,方能为银行国际化业务扩张赋予新的发展动能。
强化安全合规战略和意识,构建一体化信息安全治理架构
交通银行早在2009年即确立了“两化一行”的发展战略,建立了清晰的国际化布局目标和架构图,并将合规稳健作为实现战略目标的关键。信息科技管理和信息安全根据总体战略,不仅强化全员合规和安全意识,更是从顶层设计规划了一体化的治理架构,以适应国际化业务发展需要和不断强化的境外金融监管。
1.将境外机构的信息安全纳入集团全面风险管理体系和架构。交通银行十分重视信息科技风险治理,从公司治理和职能管理两个层面构建了结构合理、运行顺畅的公司治理机制和组织架构。公司治理层面由董事会、高级管理层组成。董事会是信息科技风险管理的决策机构,通过董事会风险管理委员会组织信息科技风险管理政策的贯彻落实;高级管理层负责执行董事会批准的信息科技风险管理政策。职能管理层面操作风险与合规(反洗钱)委员会对信息科技风险重大事项进行决策部署,信息科技管理与信息安全保障委员会负责对信息科技建设、运行、重大网络信息安全事项进行决策部署并监督执行情况。
2.推进境外机构全面履行信息安全“三道防线”职责。交通银行总行及境外分支机构均成立由信息科技部门(含管理部门、业务部门)、风险管理部、审计监督局组成的职责独立、相互制约的信息科技风险“三道”防线。一道防线通过构建完善的制度体系,强化人员安全管理,采取技术防御等措施抓风险的具体防范;二道防线通过构建信息科技风险管理体系和评级体系,从开展业务连续性管理、信息科技外包管理等方面抓风险的总体管理;三道防线通过内部审计、内控评价等办法抓风险的审计监督。三道防线分工明确、协调配合,共同扎实开展境外分支机构信息科技风险管控工作。
3.强化境外机构工作人员信息安全和合规意识的培育。针对境外分支机构信息科技负责人,每年年度信息科技工作会议均开展专题安全教育和境外分行管理研讨,督促负责人提高适应属地监管要求的敏锐意识,以及安全合规的管理意识。针对境外分支机构信息科技全员,建立常态化的国际员工培育模式,通过专题培训、工作指导等多种形式提升技术人员信息安全意识和能力。
创新安全管理和技防措施,支撑国际化合规稳健发展战略
2016年以来,交通银行国际化布局显著加快,为了适应、支撑和助力国际化发展战略,在IT治理和信息科技风险治理架构的指引下,积极从制度、流程、工具、系统等方面创新信息安全管理和技术防御措施。
1.建设覆盖全面的差异化信息科技规章制度体系。2016年,交通银行对标国际标准COBIT5和ISO27001,实施了信息科技规章制度体系优化工作,基本构建分类清晰全面、层级完整有序、内容具体落地的规章制度体系。2017年,交通银行一方面聘请会计师事务所对现行有效的信息科技制度与主要国家监管要求进行差异化分析,并根据不同属地监管要求和差异化评估报告,全面梳理和优化适用于境外分支机构的制度清单。另一方面,合规部门从内控角度对境外分支机构制度进行严格审计,力求发布的制度能够充分降低合规风险,满足合规要求。
2.加强总行对境外分支机构的信息安全检查。交通银行每年针对境外机构的发展特点制定信息安全管理检查与评价办法,并根据年度检查计划,组织检查组实施信息安全工作现场或非现场检查。检查内容基本覆盖信息安全管控的各个方面,致力于通过安全检查约束、督导境外机构重视、缓释或化解信息科技风险。
3.通过IT服务协议支持和指导境外机构安全生产管理。交通银行总行根据各境外机构经营特点与监管要求,组织与纽约、首尔、香港等海外分行签署IT服务协议,明确总行及海外行的生产管理流程、职责和服务交付标准,并针对海外分行实施灾备演练,提升海外分行生产运维管理和应急处置能力,确保以合规稳健的信息系统为业务发展保驾护航。
4.推进互联网信息系统一体化安全管控工作。境外分支机构网络安全管控是全集团网络安全管控的重要组成部分,必须全盘考虑、统筹处理。为此,交通银行从业务整合、域名安排、架构设计、安全检测等方面入手,将境外分支机构的互联网应用系统全面纳入总行实施一体化管理,制定内外网隔离方案,全力提高境外分支机构互联网应用安全控制水平,降低网络安全风险。
建设全球化时代信息系统,筑就国际业务转型发展新高地
交通银行在国际化战略的实施进程中,始终把信息系统建设作为国际化的重要抓手,站在集团一体化的角度,进行系统架构和产品设计,以满足不同国家、不同监管体系、不同特色业务的发展需要。
1.建设境内外一体化的业务平台,提升信息系统服务国际业务能力。交通银行全集团境内外一体化业务系统(简称“531”工程)贯彻“以客户为中心”的设计理念,通过模型、流程、渠道、系统的整合,实现了涵盖全业务领域的系统整合和合规要求。2017年,“531”工程已顺利完成伦敦、卢森堡、台北等12家海外分行的系统投产上线,为交通银行国际化布局合规稳健发展,积聚了新一轮发展动能。
首先,“531”工程在系统功能设计上注重合规与业务经营并重。在信用风险合规方面,利用大数据平台和海量数据,描绘出每一个客户的族谱图。不仅包括客户的交易行为,还勾画出客户投资、担保关系,全面地反映客户真实财务状况,进而实施准确财务风险评估。在交易风险合规方面,采用实时和非实时相结合的风险预警体系,以发现、监测、控制、评估及报告为核心风险信息环路,形成覆盖全面、各有侧重、有机配合、运作有效的合规风险管理体系。在反欺诈方面,系统功能主要包括外部信息管理、客户评分、预警信息管理、预警核查、反欺诈事件调查、黑名单管理、欺诈案件管理等,通过系统批量大数据加工,实现系统自动预警。
其次,“531”工程的领先优势支撑和驱动国际化业务加速拓展。系统建立了集团统一客户号,实现全集团范围内客户统一管理,境内外分行、集团与子公司之间的资源、数据及业务共享。系统架构上统一底层应用开发平台,通过统一的产品管理、用户机构权限控制、SWIFT组织出口、数据标准、外汇牌价和额度管理等,实现开发资源共享。“531”工程境内外一体化管理和业务联动的体系架构,有效促进国际化业务从传统的资本推动型向服务推动型经营方式转变,并以境内业务为依托,形成境内外、本外币、银行业务与非银行业务的全方位联动,提升跨境跨行业的合规经营能力。
2.建设境外特色业务系统,落实人民币“走出去”战略。交通银行积极响应国家“一带一路”和人民币“走出去”战略,建立了人民币跨境支付系统和人民币跨境清算系统,以全球化时代的信息系统及金融服务加快国际业务转型。
首先,交通银行作为首批直接参与机构,建立了安全、稳定、高效的人民币跨境支付系统(CIPS)。随着人民币债券市场的开放和人民币逐步可兑换,CIPS系统将全面支持境内金融市场的跨境货币资金结算,通过适时上线债券通业务、混合结算等业务功能,支持跨境电商业务发展,并实现与证券结算系统、中央对手等金融市场基础设施(FMI)连接,全面支持金融市场各类跨境业务。同时,CIPS系统将进一步延长运营时间,覆盖全球主要时区;逐步引入境外直接参与者,拓展清算网络,更好地促进人民币在全球范围的使用,支撑实体经济发展和“走出去”战略实施。
其次,交通银行在韩国首尔建立了人民币跨境清算服务系统。该系统为人民币参加行和离在岸人民币市场提供公平、及时、准确、专业的跨境人民币清算服务,系统实现交易指令的直通式处理(STP),既完成簿记转账、交易处理确认、报文发送、核心记账等业务流程,又实现账户管理、业务信息管理、接口管理等系统功能。为交通银行未来建设多币种、境内外一体化的全球清算中心奠定扎实的基础。
文 \ 交通银行信息技术管理部
责任编辑:韩希宇
免责声明:
中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。