美创科技
业务安全案例分析
-以国家网络安全法看金融行业发展,从数据安全走向业务安全之路
《中华人民共和国网络安全法》在2016年11月7日发布后,在经过将近一年的捶打磨砺后于2017年6月1日正式实施,意味着网络安全不再是各个企业所关注的事情,而上升到了法制化进程中,并进一步明确了政府各部门的职责权限,完善了网络安全监管体制;强化了网络运行安全,重点保护关键信息基础设施;完善了网络安全义务和责任,加大了违法惩处力度;将监测预警与应急处置措施制度化、法制化。
《网络安全法》的实施推动了网络安全产业的整个链条在质上的飞跃,金融行业是我国在信息化发展上使用信息数字化最早的行业之一,随着银监会、证监会、保监会等监管机构对金融行业的监管要求,信息化安全问题成为金融行业在生产过程中的首要问题。其中,银行行业在多年的生产保障中对基础设
施安全防护、边界安全防护、数据安全防护、网络安全防护上都做了较多的投入,在生产相对稳定安全运行后,运行于之上的各种繁杂业务更是数不胜数,其中包括:负债资产与中间业务、信贷业务、财会业务、资产清算业务、电子银行业务等,这些业务同时也是各个城市商业银行的核心业务之一。
那么,在刚刚提到的层层安全壁垒下是否我们的业务生产就能真正的高枕无忧毫无风险呢?显然这并不现实。
《论语.季氏》中有句典故叫“祸起萧墙”,后来人们用这一典故表示内部祸乱之意,《后汉书》中就引用了这一典故:“此皆衅发萧墙,而祸延四海也。”萧蔷指的是我们常说的屏风,而“祸”实乃人祸,问题往往出自自家大门里,儒家典学的智慧博大精深,沿用至今。
在当今设备精良、监管有力的情况下,一些利用合规授权账户、合规业务通道、合规接入方式办着不合规、不合理的业务请求,而实际上现阶段任何安全检测与防护设备都无法对业务的合理性进行研判,业务风险频频凸显,在银行行业中业务操作风险仍是每个业务合规部门负责人的难点和痛点,被媒体曝光的各类因业务安全风险产生的事件只是冰山一角,其中以2018年初银监会官网头条发布的“浦发银行成都分行爆发违规授信775亿大案”瞬间引爆整个金融圈。
浦发银行成都分行通过各种花样违规手段向1493个空壳企业授信775亿元,换取相关企业出资承担该行不良贷款的案件。银监会公告用词非常严厉“这是一起浦发银行成都分行主导的有组织的造假案件,涉案金额巨大,手段隐蔽,性质恶劣,教训深刻”。让人瞠目结舌的是,浦发银行成都分行之前宣称“长期不良贷款零”。银监会向浦发银行开了4.62亿元罚单!近200人被问责,2018年1月19日银监会正式向社会公布依法查处浦发银行成都分行违规发放贷款案件,四川银监局公布对浦发银行成都分行案做出处罚,共罚没4.62亿元,相关责任人也被处理。
通过浦发银行成都分行的这次违规授信案件,不难看出在银监会强有力的监管下浦发银行成都分行依然存在以下严重问题:
1.内部控制严重失效,严重违反审慎经营规则。
2.未提供或未及时提供检查资料,不积极配合监管部门现场检查,对
现场检查的顺利开展形成阻碍。
3.授信管理严重违规,严重违反审慎经营规则。
4.违规办理信贷业务,严重违反审慎经营规则。
5.违规办理同业投资、理财业务,严重违反审慎经营规则。
6.违规办理商业承兑汇票业务,严重违反审慎经营规则。
7.违规办理信用证业务,严重违反审慎经营规则。
8.违规办理银行承兑汇票业务,严重违反审慎经营规则。
9.违规利用保理公司进行资金空转,严重违反审慎经营规则。
巴塞尔委员会把操作风险界定为:“由不完善或有问题的内部程序、人员及系统或外部事件所造成损失的风险”,在此定义中,突出强调了操作风险形成的原因。
从违规问题上来看,不是银行不重视业务安全操作风险,而更多的是苦于没有识别业务风险的技术手段和能力,甚至是缺乏对业务风险的全面认识以及相应的风险处置预案,这一系列缺失导致了业务操作风险变的不可控。而真正解决此类问题,一方面要从银行高层管理对操作风险发挥积极作用,另一方面需要引入科技手段来实时对主要业务系统进行风险识别,在事中预警每笔疑似业务办理和处置跟进,事后可追溯、追责,形成业务安全操作风险的闭环,辅助风险合规部门人员对业务风险的把控。
美创科技在2017年推出了业务安全动态监测解决方案后,运用美创业务安全风险模型服务了多个行业客户,涉及的主要行业有:金融、公安、政府、轨交,为风险合规人员提供了强有力的科技支撑工具和手段。
