做好银行内控合规管理工作之浅见与对做好基层银行业保密工作之思考两篇

做 好 银 行 内 控 合 规 管 理 工 作 之 浅 见 与 对 做 好 基层 银 行 业 保 密 工 作 之 思 考 两 篇关于做好银行内控合规管理工作的浅见内容摘要：随着全行内控案防工作的持续深化，员工异常行为排查以及“十大重点领域和关键环节”专项治理常态化，行内员工投资经商办企业、出借个人账户、有偿兼职等违规行为得到很好控制，但在模型监测和业务调研时发现员工行为管理出现一些新的风险特征，对合规建设形成一定冲击。本文就我行员工异常行为特征进行专题分析，揭示员工不当操作或违规行为潜在的风险隐患，针对性的提出管理建议，进一步强化员工异常行为风险的有效识别与管控。一、员工异常行为类风险特征分析（一）业务信息传输类风险为业务交流方便，行内员工通过微信、融 E 联等互联网平台建立工作交流群的情况较为普及，但绝大多数员工在工作交流群发布业务数据时，缺乏基本的客户信息安全意识，在咨询业务处理过程的疑难问题时，使用手机拍摄交易界面，以最便捷直观的方式上传至微信工作群，对涉及的客户敏感信息，如姓名、账号、交易类型、交易金额、身份证号码、联系电话等内容不予遮挡或打码掩盖，照片中的客户相关信息清晰可见，群内所有成员均可浏览、复制、保存、转发、打印，客户信息过于透明公开，存在失密或泄露的可能。（二）客户使用我行员工办公机具涉及风险模型监测与现场检查发现，员工将行内办公机具提供给客户登录网银操作理财、基金、转账等交易的情况比较普遍，2018 年 1-7 月，相关模型展现准风险事件 36 笔，涉及支行的网点低柜柜员、理财经理、客户经理、二线非业务人员的 13 台办公 MAC 地址，累计交易额 1938 万元。银行员工基于客户主动要求或体验机故障、客流高峰排队、服务优质客户等考虑，引导客户通过行内办公设备登录网银办理业务，并避开客户输密环节由其自行操作，摘清代客操作或偷窥客密的嫌疑。经调取监控录像核查，员工为客户提供机具便利时虽不存在代客登录网银操作或保管介质等违规行为，但行内员工办公电脑存有我行内部文件或其他客户信息，潜在行内重要信息泄露的隐患。另外，支行内设部室非业务人员办公区域基本处于视频监控盲区，难于确认是否为客户本人操作，存在行内员工代客保管介质并操作的可能。调研发现，所有被调研的员工均认为客户使用我行员工内网办公终端处理业务时无员工代办行为，既不违规也无风险，可见员工信息安全意识存有偏颇，想当然认为不窥视客密、为客户保密即为合规，完全忽视了行内重要信息的安全与保密。（三）员工用户权限管理类风险1、用户权限管理不到位。网点智能服务及岗位融通模式下，柜台内外岗位间的操作限制被打通，赋予了相关岗位人员兼岗权限，操作岗、服务岗与营销岗进一步融合，而业务高峰期相关岗位的角色转换相对频繁，个别员工对用户权限管理潜在的风险认识不足，兼岗调度后存在：未签退主机即离柜、移动助手未签退即换手复核、登录移动助手后交他人代为核验或远距离核验、串用、混用统一认证号等情况，操作风险、服务风险、客户信息安全风险隐患较大，同时潜在员工违规风险。2018年上半年，省分行监测模型累计识别员工用户权限管理不到位类风险事件 26 笔（具体见表一），自 6 月版本投产“pad 审核与柜面主机联动控制 ”功能，以及针对性运行管控，该类风险得到基本治理，7 月份以来再未发现类似情况。2、冒用他人用户权限通过外网办卡。据总行网讯信息，某分行员工以本人和冒用其他员工的统一认证号违规在外网帮助持卡人申请办理我行公积金联名借贷合一卡。为取得审批通过并获得高信用额度，该员工采取对办卡人身份进行伪造，冒充某企业单位职工身份、职务等相关资料信息违规办卡，使非原单位人员（无业人员居多）办理了公积金联名卡。并在职务一栏均填了科级以上干部，致使持卡人获得较高的信用额度。个别员工严重缺乏合规操作意识和风险意识，注重营销业绩、忽视风险管控，以伪造或变造客户身份的方式为无业或收入不稳定人员办理高额信用卡，对我行信用资金安全构成冲击。另外，员工违规使用他人统一认证号办卡，不仅有转嫁风险于他人的可能，且若客户信用卡发生透支逾期或不良时，给资金追讨形成不利。（四）员工异常操作类风险调研发现，营业网点临柜人员存在代客保管印鉴章、票据、代领取客户数字签名证书、代客填写业务申请资料并加盖印鉴、代客签名或输密等违规操作，以及临时离柜凭证、款箱钥匙、印章等重要物品未妥善保管或未及时签退主机、兼岗办理不相容业务、双人制度落实不到位、手工补填存单折信息、智能设备重空清点不及时等不规范操作类风险；遇库存不足时，柜员间存在私自空调现金调剂库存的情况；个别员工还存在在客户不知情或依据不充分的情况下，受理支行营销查询、协议单位委托查询、业务纠错客户联系方式查询、受客户电话委托查询汇款到账情况等行为；客服经理存在代客在自助机具上点击交易、代取介质或持客户 U 盾至柜面灌密等行为；个别网点还存在当值大堂经理无故延迟到岗造成营业期间厅堂值守缺失现象。个别银行员工受熟人文化影响或基于营销考核、客户服务考虑，放松制度执行要求，利用工作便利代熟识的客户保管印鉴章、票据、代办金融业务、无依据查询客户信息等行为，若管理不严或控制不力，潜在法律风险和道德风险隐患。二、网点管理效率对员工异常行为的影响员工异常行为管控效果，不仅反映了员工的行为自律以及自控能力，也与相关管理人员的综合履职密不可分，营业网点管理人员自身的责任意识、风险意识、合规意识、案防意识强，合规文化落实到位，员工异常行为的管理效果相应良好，反之亦然。经调研，营业网点员工行为合规管理主要影响因素有以下几点：（一）业务人员排班安排灵活性不足新服务模式下，营业网点普遍存在人员排班灵活性不强或对特殊情况预估不够等问题，加之大多数中小型网点人员配备不富裕，遇突发情况如当班业务人员临时请病事假、公事或紧急外出服务时，人员抽调后网点业务人员的补位调度就难以有效落实，高低柜及智能区服务需求旺盛时易形成岗位空缺的此消彼长，影响客户服务体验，同时岗位角色转换过程中员工用户权限管理、业务审核细致程度、双人制度落实等问题凸显，部分员工为节约业务处理时间，存在代客操作智能交易或领取介质、代填凭证或签名、代输密码、简化身份识别流程等异常操作。（二）员工行为风险管控联动性不强“穿透式”营销考核激励下，个别网点负责人产品营销热情高涨，管理倾向与侧重主要放在营销与客服上，内控工作一般交由网点运营主管主抓，事后过问少、参与少，对员工异常思想动态和行为动态掌握不够，问题发现和管控切入不及时、不准确，风险治理不彻底，使得部分员工不合规操作成为常态，破坏网点合规文化氛围。个别网点运营主管站位不高，风险管控大局意识较为薄弱，工作重心主要在日常的业务审核与现场督导上，对异常操作频次多、业务违规概率高的业务人员，关注多、管理少，纠错纠偏时存在“头痛医头脚痛医脚”现象，追责问责不力，异常操作根治效果不佳，特别是对思想波动反复或日常消费习惯偏离收入的员工，多持有不认同或谨慎防范态度，但很少与其日常的不规范操作行为关联，员工异常行为风险管控延展性不足，存在一定的管理松懈。（三）合规文化深植教育尚需进一步深化个别网点合规知识教育不够全面、深入、彻底，日常管理中比较注重业务领域的规范执行，对合规文化教育是否真正做到了“内化于心、外化于行”的关注相对要少。个别管理人员自身合规意识相对薄弱，对员工的异常操作或违规行为潜在隐患认识不够或缺乏敏感，合规教育宣传方式固化简单，培训效果的跟踪落实机制不健全。三、员工异常行为管理与责任追究制度建设（一）员工行为管理监测分析与预警机制近年来，分行与支行纵横联动，借助融安 e 信、内控监测分析、业务运营风险监控、信用卡风险监测、信贷管理、工商注册等多个监测平台的数据支持，运用各种技术手段，定期或不定期组织员工行为排查、重点领域和关键环节专项治理、银行业市场乱象综合整治、运行督导专项检查等对员工异常行为进行监测与分析，关注 8 小时以外员工日常行为动态和消费习惯，了解掌握员工碰触行为规范禁令的各类违规行为，建立常态化的监测、分析、预警机制，强化员工异常行为排查与管控。落实监管要求，加强个人信用消费贷款业务关系人管理，批量剔除行内员工融 e借白名单，改由 e 分期业务支持员工大额消费需求，防范员工信用贷款违规使用风险。对监测检查发现的异常操作“屡查屡犯”预警柜员或频繁发生“屡查屡犯”的部门、网点，及时发送整改通知书、风险提示等督促整改，并由相关管理部门落实追责与管控，强化整改治理效果。（二）员工异常行为类风险事件责任处理程序对监测与排查发现的员工违规行为风险事件，按照违规风险事件类别和性质，分层实施责任处理程序，追究相关责任人和管理责任人的责任1。一是对有重大违规行为的，如投资经商办企业、行外挂（兼）职、参与非法集融资、私售理财、飞单以及其他违规行为的员工，经省分行监察与内控部门核实确认、相关会议研究决定后予以相应的违规责任追究及处理，触犯法律的，同时追究法律责任。二是对模型监测和运行检查识别的员工违规操作行为，按照风险事件类别和性质，分别由省分行和管辖支行进行责任认定及处理，并通报全辖予以警示，规范员工日常操作行为，防范违规风险。（三)合规理念传导及普及教育实施情况通过“合规文化大讲堂”、“学习监管规则 强化制度执行”知识竞赛、“以案说纪 以案说规”案例分析、日常合规信息传导、签订合规承诺书、撰写学习心得体会等，多方式开展员工规范操作及合规行为教育，培养良好的行为习惯，促进合规文化建设。综上，从制度规范看，我行员工行为管理监测分析机制建设和员工异常行为责任处理对接有序，分级管理制度执行基本到位，合规理念传导及普及教育日常化、制度化，监管预警与合规教育双管齐下，员工合规意识和行为规范进一步增强。但调研也发现，个别员工对违规操作心存侥幸，规章制度折扣执行，自我约束与自律能力欠缺，侧映出员工行为监督管理存有执行不足，尤其是基层管理人员责任防范有缺失，在业务发展与客户服务方面，存在执行“越线”的不合规行为，合规理念深植低于预期。四、相关管理建议（一）深化合规理念传导及普及教育紧跟内外部风险形势变化，关注员工异常行为类风险事件特征新表现，补充合规文化传导内容，结合当前行内开展的员工异常行为排查、重点领域及关键环节风险治理、合规教育知识竞赛、刑法读本（节选）学习等多种形式，全面实施合规文化传输，以实际案例讲解，融合日常检查发现的不合规操作或违规行为，以案议案、现身说教，进一步传导合规知识，提高员工合规意识，促其自觉遵守职业操守，远离违规、违法，用合规文化教育“内化于心、外化于行”的实际行动，将审慎合规的经营理念和文化根植于心、落地生根，形成强大的震慑力和约束力，营造良好的合规氛围，维护金融环境安全和运营生态健康。（二）加强员工异常行为监督与管理综合应用各类风险监控系统优势作用，加强员工异常行为监测分析，结合员工日常行为表现及消费习惯变化，综合判断员工违规违禁行为，对有违反禁令行为的员工，严肃责任追究与处理。网点负责人及运营主管要认真履行现场管理职责，加强网点员工的操作行为监督与检查，及时纠正不当操作、执行失范及违规行为，并对典型案例进行总结，组织全员进行风险再认识，达到自我教育、彻底整改的目的。关注员工思想动态与行为变化，结合日常工作表现进行监测分析，对存在重大违规或其他异常行为的，要及时上报并持续关注，避免事态发生变化形成资金或重大声誉损失。（三）加强网点运营资源的统筹管理网点管理人员要应用系统功能，及时掌握网点每日运营情况，合理安排、调度网点柜口和人力资源，统筹协调客流高峰期柜台内外的补位调度，确保网点各项业务的正常运营，防范合规风险。根据网点机具布局及环境特点，合理摆放网银体验机或加保护罩等，消除客户疑虑，引导客户通过体验机办理网银业务，并通过现场培训和远程指导，提高客户自助办理网银业务的能力，提示客户尽量使用家庭电脑操作网银。加强员工信息保密知识宣讲，通过社交媒体上传业务信息时，对涉密信息要采取保护措施，防范信息泄露风险。对 做 好 基 层 银 行 业 保 密 工 作 的 思 考基层银行业金融机构的保密工作直接关系着辖区的金融安全，而银行和监管部门之间、监管部门和当地政府之间离不开互联网信息网络的交互，信息的交融也加大了泄密风险，本文就如何筑牢基层银行业金融机构的保密防线谈几点认识。一、基层银行业金融机构保密工作的重要性党的十九大高度重视国家安全，将坚持总体国家安全观纳入习近平新时代中国特色社会主义思想基本方略。习近平总书记在全国金融工作会议上强调金融是国家重要的核心竞争力，金融安全是国家安全的重要组成部分。中共中央政治局就维护国家金融安全进行了第四十次集体学习，习近平总书记在主持学习时强调，切实把维护金融安全作为治国理政的一件大事。金融安全直接关系到党和国家工作全局、经济社会发展大局和国家安全战略格局。银行业的特殊性决定了其主要业务都是以大数据为基础进行的，这就决定了信息科技对于保密工作的重要性。随着信息化技术和网络的广泛应用，基层银行业机构安全保密工作的环境和条件、对象和领域、内容和范围、形式和手段通过信息技术手段窃密、泄密的风险日益突出，网络安全不易掌控，因此基层银行业金融机构保密工作的重要性也越加突出。二、基层银行业金融机构的保密工作的现状（一）硬件方面。从目前基层银行业金融机构的现状来看，一是网络安全防护措施较少，网络泄密风险加大。互联网的普及极大地增加了联网计算机信息泄密的风险和防范难度。各银行业机构与监管部门之间进行公文传输的内网与互联网虽然是物理隔离，但网络之间的信息传输还是缺少保密防范措施。同时由于无线网络 WIFI 的普及，一旦内网计算机自动接入无线网络，内网被黑客侵入，也会造成比较严重的后果。二是不同网络系统之间传递数据、报损报废设备的处理、移动存储介质及笔记本电脑的管控、内网及互联网的设防、计算机终端的管理和安全保密技术的防范措施等方面都存在较大的失泄密风险隐患。三是基层银行业金融机构的计算机网络技防目前主要还是依靠上级行（社），但上级行（社）对基层整个计算机网络维护只能从宏观给予指导，具体的技防工作还需自己完成，缺乏系统专业的技防工具和手段，技防水平有待提升。（二）软件方面。一是无专职保密工作人员。基层银行业金融机构面临人员紧缺的现状，保密工作人员也是兼职，缺乏较为系统专业的保密培训，专业素质需大力提升。二是科技从业人员匮乏。很多机构存在重发展轻管理的思维，造成一直以来缺乏专业信息科技人员，对信息技术保密工作产生了较大影响。三是各部门保密主体责任意识不强。各部门对自己部门所负有的保密主体责任认识不够到位，以为保密工作是保密办或综合部门的事情，与本部门关系不大。四是员工缺乏必要的防护知识。将秘密信息和非秘密信息混合存储。因为未标识相应的密级，有移动存储介质丢失、被盗、被复制泄密的风险。 存在内外网计算机之间共用打印机，在内网计算机插入 U 盘、移动硬盘等存储介质，导致计算机被病毒感染存在泄密风险。三、基层银行业金融机构做好保密工作的措施（一）抓细抓常保密教育，筑牢思想防线。一是从讲政治的高度做好保密思想教育工作。抓好每年度中央保密委员会和全国保密工作会议精神的贯彻和学习，坚决按政治纪律和政治规矩办事，在保密方面不越雷池半步，始终绷紧保密这根弦。要对标看齐，在国际国内全局中认清保密形势，在国家安全大局中谋划保密工作，在全面从严治党中严守保密纪律，切实扛起保密工作的政治责任。二是保密教育开展应主要着眼与强化意识、普及常识等方面。首先是法规政策教育，国家、银监会、地方政府都有相关层面的法律法规制度，是加强保密建设和做好保密工作的重要依据。在教育中要突出保密法规政策的绝对权威，集中精力纠正干部员工对保密工作认识上的偏差和执行上的误区盲点。其次是案例警示教育。失泄密案例都是真实发生的，它的具体性和真实性，能够使员工印象深刻。开展保密教育就是要有针对性地用活典型案例。讲透保密工作形式，讲足泄密危害后果。再次是技术常识教育。随着保密工作转型发展，科技在保密工作中的地位举足轻重。保密教育要重点突出网络安全保密的技术方法、电子存储载体安全和信息安全保密技术等内容，防止“无知泄密、无意泄密、过失泄密”。三是针对性开展保密教育。将普适教育与层次教育相统一。在广泛性方面，既要抓好领导干部，专兼职保密干部，机要、统计信息等重要涉密岗位人员的保密教育，也注重抓好普通干部群众的日常养成，努力营造浓厚的群防群治良好氛围；在针对性方面，要根据不同层次人员的涉密等级和岗位职责，抓住各类培训、新老交替等终点时机，有的放矢开展保密教育。（二）切实发挥保密委作用。严格落实责任制，层层压实责任，落实保密委主任“一把手”的第一责任，保密委员会的领导责任、各部门的主体责任、保密部门的监督责任，凝聚做好保密工作强大合力，平时以抓铁有痕、踏石留印的劲头开展保密宣传教育，形成群策群力、联防联控的保密综合防范体系。（三）高度重视保密自查自评工作。每年开展保密自查自评工作，及时发现隐患，堵塞漏洞，切实消除保密安全隐患。一是开展保密工作摸排，做好底稿，梳理问题，拟定措施，尽早开展问题隐患清查整治。二是加强网络安全保密检查。协调信息科技部门做好防火墙、认真授权、访问控制等防护措施，严格终端管理，确保信息系统和金融数据安全保密。三是检查宣传报道保密管控情况。信息发布严格审批权限，未经审批一律不得发布信息和接受媒体采访。（四）狠抓问责，营造依法治密氛围。一要履行好督导检查责任。加大保密自查的力度，组织好保密部门信息设施设备、信息系统等技术安全保密检测。二是要抓好领导干部保密责任。领导干部要以身作则，当好榜样，做好示范。三是要严肃追究保密责任。把保密责任落实到每个岗位和每名人员，对违规违纪的行为敢于较真碰硬，对存在隐患苗头绝不姑息迁就，严肃处理并追究相关责任，坚决维护保密纪律的严肃性。