国家金融监督管理总局办公厅关于开展信息科技监管数据专项治理的通知
金办函〔2024〕154号
各金融监管局,各政策性银行、大型银行、股份制银行、外资银行、直销银行、金融资产管理公司,各保险集团(控股)公司、保险公司、保险资产管理公司:
为提高信息科技监管数据质量,金融监管总局决定开展银行业金融机构、保险业金融机构(以下简称金融机构)信息科技监管数据专项治理工作。现将有关事项通知如下:
一、工作目的
根据《中华人民共和国银行业监督管理法》、《中华人民共和国保险法》、《商业银行监管评级办法》(银保监发〔2021〕39号)、《中国银监会办公厅关于加强非银行金融机构信息科技建设和管理的指导意见》(银监办发〔2016〕188号)等法律规定要求,开展本次信息科技监管数据专项治理工作,督促金融机构提升监管数据报送的合规意识,建立健全数据质量长效管控机制,切实提高监管数据报送的及时性和准确性。
二、专项治理范围
信息科技非现场监管报表数据。
三、工作安排
本次专项治理以金融机构自查和监管部门现场核查相结合的方式开展:
(一)金融机构自查
各总局直接监管金融机构要扎实开展自查与整改工作,明确自查和整改工作的牵头部门。要根据核查要点(见附件),制定自查方案,查找各类瞒报、错报、漏报问题,并深入分析问题成因。相关自查工作应于2024年12月中旬前完成,问题整改应于2024年12月底前完成,并向总局报送自查报告。
各金融监管局要组织辖内地方法人金融机构开展专项自查与整改,督促地方法人金融机构在年度监管评级启动前完成相关工作。
(二)监管部门核查
各金融监管局要加强统筹协调,合理调配资源,选取不少于2家地方法人金融机构开展现场核查,至少包括1家商业银行或省级农村金融机构、1家保险机构或非银行金融机构。具体实施方式上,可将专项核查纳入年度信息科技监管评级,与评级工作协同推进。
四、相关要求
(一)提高核查工作针对性
各金融监管局要结合日常监管掌握的情况,对信息科技非现场监管报表数据的采集、处理和报送等流程进行抽查,明确金融机构数据质量问题的管理责任,督促金融机构制定切实可行的整改方案,解决一批影响报表数据报送准确性、及时性的“顽瘴痼疾”。
(二)严把报表数据入库关
近期,信息科技非现场监管报表系统将增加报表数据入库数值校验功能,对部分填报数据开展历史纵向比对,异常数值将自动触发告警。各金融监管局要严格把控报表审核入库关,对系统告警以及人工审核发现的数据质量存疑问题进行核实。要加强与历史数据和其他监管信息的纵向比对和横向分析,重点关注数据异常变动。
(三)建立长效工作机制
科技监管司将提高信息科技监管数据质量在年度信息科技监管评级中的考察权重。各金融监管局应加强跟踪督导,完善监管数据的沟通协调和问题通报机制,将监管数据质量纳入信息科技现场检查;落实属地监管责任,对数据质量存在严重问题、数据治理不完善、存在严重瞒报漏报错报的金融机构,依法采取监管措施或实施行政处罚。
附件:信息科技监管数据专项治理核查要点
国家金融监督管理总局办公厅
2024年11月29日
附件:信息科技监管数据专项治理核查要点
一、数据报送管理组织架构
是否建立信息科技监管报表数据的全行报送流程和管理体系,是否明确信息科技监管报表数据报送的归口管理部门,填报岗位职责是否明确,是否配备AB角,是否安排双人复核。
二、数据报送制度和流程
是否建立信息科技监管报表数据报送制度,是否明确报表数据质量的最终责任人。监管报表数据的计算、加工和报送是否经过责任人审核和审批,归口管理部门和相关责任部门是否建立有效统筹协调机制。对于需要金融机构本级支持的分支机构或附属机构监管报表报送事项,是否已建立沟通协调机制。
三、数据准确性保障机制
是否建立本机构统一的信息科技非现场监管数据填报口径,合理部署总分核对、单表核对、多表核对、跨主题核对等校验规则。数据计算存储、数据加工任务、数据管控等工具能力是否充足,自动化管理水平是否能够满足常态化数据报送任务的需要,数据加工和报送链路是否存在堵点,计算结果是否准确并符合要求。
四、数据报送监督和考核机制
是否将信息科技非现场监管报表数据报送情况纳入内控合规部门和审计部门的核查范围,是否定期开展报表数据质量检查,是否建立报表报送流程和报表质量持续改进机制,是否将报表报送和数据质量纳入年度考核体系。
五、重点核查领域
1.基本概况信息。资产规模、员工数量、信息科技投入等指标填报信息是否准确无误。
2.信息科技治理及二、三道防线工作信息。信息科技风险管理、信息科技审计有关工作开展情况是否与实际工作开展情况一致,历史工作项目、覆盖内容、发现问题及问题整改数量等信息是否真实准确。是否按要求提供必要的证明材料作为附件。
3.网络安全工作信息。是否全面、准确填报网络安全责任制落实情况,相关信息是否真实反映网络安全管理制度建设、信息安全培训、信息安全检查等相关工作开展情况。重要网络安全域划分、重要网络边界控制和网络安全管理等填报信息是否真实、准确,已升级换代或不再使用的控制措施是否及时删除。主机安全、终端安全和应用安全有关填报信息是否全面、准确,是否与实际部署且执行的管控策略保持一致。重大网络和信息安全事件有关情况是否如实填报。
4.数据安全工作信息。数据安全管理制度、数据安全管控策略、数据安全控制技术措施等信息填报是否全面、准确,相关控制措施是否能覆盖数据全生命周期。数据出境场景的基本信息和数据出境安全评估相关工作开展情况是否如实填报。
5.数字金融信息。数据中心算力、公司/个人账户数及公司/个人客户数等规模性指标的统计口径是否准确。主要业务规模、主要电子交易笔数、主要电子交易金额、互联网保险保费等周期性指标是否与本机构相关业务的基本情况相符。
6.重要信息系统信息。重要信息系统名称、承载业务名称、系统部署架构、运维管理模式等填报信息是否真实、准确,不同报表之间的填报信息是否一致。
7.业务连续性管理信息。业务影响分析信息是否与本机构业务影响分析的结果一致,相关重要信息系统及关联关系填报是否准确。业务连续性演练相关填报信息是否与实际演练内容一致,参演的重要业务、重要信息系统信息填报是否全面、准确。本年度信息科技事件有关信息是否如实填报。
8.外包管理信息。是否准确填报各项信息科技外包准入、信息科技外包监控评价、信息科技外包风险管理有关工作情况。外包合同名称、服务类型、工作总量等外包合同信息填报是否全面、准确。历史填报的且尚未结束的外包合同是否遗漏。