XX银行_信息系统动账交易风险管理制度.doc

PAGE8/34

XX银行

信息系统动账交易风险管理制度

信息科技部

20xx年xx月

目录

TOC\o1-2\h\u1171一、总则 4

24361二、风险工作内容 7

17045三、风险管理原则 9

19004四、组织机构管理 11

15156五、风险管控流程 14

14195六、开发设计要求 17

24684七、系统测试要求 21

10964八、运维监测要求 24

24663九、管理工作要求 27

5002十、处罚措施办法 31

2283十一、附则 33

修改记录

版次号

生效日期

修改原因

A/0

制度文件第一版首次发布

注：以上为版本修改记录，首次发布为A/0版，编写者可以不作改动。

总则

按照中国银行业监督管理委员会《商业银行信息科技风险管理指引》的相关要求，为了有效控制、降低、消除因信息系统变动而导致的“动账交易”风险，保护银行资产，保障客户权益，提高客户体验，建立相应的管理约束机制，特制定本办法。

本规范适用于我行各类应用系统新建、存量系统优化、系统架构升级调整等建设实施过程。

本规范中的“动账交易”是指可能导致客户资金、行内资金、客户信息、业务状态发生变动的交易或操作。

本规范中的“动账交易风险”是指银行业务办理或系统运行过程中因业务需求不完善、系统设计不合理、测试执行不充分等原因导致的客户资金、行内资金、客户信息、业务信息等未能按照预先设计的流程、方式、状态变化而造成的偏差，导致客户和银行面临资金、声誉等方面损失的风险。

“动账交易风险”来源于应用系统实现过程的各个环节，主要包括以下几个方面：

因需求分析不细致、不全面而引入的风险。

因系统设计不合理、逻辑控制不完善、项目实施质量控制不力而引发的风险。

因通知或提示信息错误、偏差而引起误解、重账的风险。

因测试案例覆盖不全面而遗留的风险。

因上线评估不足而未能识别的风险。

因监控策略不恰当而未能及时暴露的风险。

因处置不恰当而引入的次生风险。

“动账交易风险”是信息系统安全运行的重大隐患，按照监管要求与我行业务发展需要，建立起适用我行现状的动账风险管控制度，以优化完善我行信息科技风险管理体系。

风险工作内容

“动账交易风险管控”目标是通过建立有效机制，实现对动账交易设计、开发、测试及运维管理等环节的监测与控制，有效降低、减少动账交易投产、运营面临的风险，促进我行业务安全、持续、稳健开展，增强我行核心竞争力和可持续发展能力。

动账风险管控体系由动账风险管理组织架构、动账交易开发设计基本要求、动账交易测试基本要求、动账交易运维监测基本要求以及动账风险纵横双向管理条线、动账风险管理处罚措施等内容组成。

动账风险管控体系由两条管理主线支撑运行，包括以系统为单位涵盖动账交易生命周期的纵向项目管理条线和以架构和规范检查为抓手的横向质量管理条线。

动账风险纵向管理条线依托“项目风险管理”主题展开，和项目实施中的设计、开发、测试、投产上线、运行维护等阶段对应，由项目组主导推动执行，各环节梯次推进、压茬执行，确保过程可控、结果可查、责任到人。

动账风险横向管理条线依托“架构管理”体系展开，由架构管控与质量控制人员在项目实施的关键环节，按照动账风险管理的规范和标准，对项目实施过程和产出物执行横向审查与稽核，主要包括“规范执行情况检查、实施过程综合审计、存在问题通报、整改建议下发及处罚措施跟进”等管理内容。

风险管理原则

第十二条动账风险管控应遵循如下原则：

顶层设计原则：坚持动账风险管控体系、制度及规范的顶层设计理念，建立动账管理组织架构，明确管理职责，制定统一标准规范，统筹推进全面动账风险管理，确保动账风险管理与经营需要、业务发展、客户体验的高度协同与契合。

联动管理原则：充分发挥各管理条线的风险管理效能，落实全面风险管控理念，通过分工协作，从不同管理维度补充动帐风险管理工作措施，构建动账风险立体式管控体系。

尽早发现原则：动账风险的识别和发现是关键，在设计、开发、测试、运维等环节持续丰富和完善动账交易风险识别手段和措施，做到尽早发现、及时处置，将动账交易风险的影响降到最低。

主导可控原则：深入分析、充分评估，全面掌控动账交易风险的影响范围及应对措施，确保动账交易风险有评估、有应对、可控制、可处置。

组织机构管理

动账风险管控组织确保动账风险管理各项工作沿着既定路线推进，保障关键性问题被及时发现与解决，提高动账风险管理的质效。

动账风险管控组织架构从上到下由“动账风险管理责任组”、“动账风险横向管控组”与“动账风险工作执行组”三层构成，不同层面按照各自分工展开工作。

动账风险管理责任组由信息科技部副经理担任组长，组织成员主要由各部门部长、架构师、