村镇银行岗位职责制度
它是实施某些管理行为的基础,是社会再生产过程顺利进行的保证。合理的管理体系可以简化管理过程,提高管理效率。以下是小编为您整理的《村镇银行岗位职责制度》,欢迎大家借鉴与参考,希望对大家有所帮助!
第一篇:村镇银行岗位职责制度
村镇银行岗位职责
****村镇银行有限责任公司职能部门设置、职责
及主要负责人名单
**8*村镇银行有限责任公司设置综合部、业务部、营业室三个职能部门。
综合部的部门职责
1、 具备办公室的基本职能,具体为文书处理工作、档案管理工作、材料起草工作、会议管理工作、调查研究工作、协调联系工作、督查、催办工作、法律事务工作、公共关系工作、保密工作、日常工作信息管理工作、公务接待工作、印信管理工作、后勤保障工作等。
2、 负责全行人力资源开发、管理工作。
3、 负责本行计算机设备的标识、保管、调配、防护工作,做好设备维修保养,使其保持正常运行;
4、 负责本行采购物资的出入库制度,做到帐、物、卡相符,按规定时间进行库房的核查工作;
5、 根据国家的方针政策和法律法规,制定和修订全行内部审计工作的规章制度和管理办法,牵头完成审计工作。
6、 负责全行的安全保卫工作,并进行监督管理。
7、 负责本行会计报表的整理工作,准确、及时全面做好经营成果的数据分析;
8、 遵循财务实施细则及时做好资金的拨付,保证本行采购等资金支付通畅有序进行;
9、 上级领导交办的其他工作。
业务部的部门职责
1、 负责全行吸收存款、发放贷款的管理工作,制定全行存、贷款政策;
2、 负责本行贷款的贷前调查和贷后检查工作,有效控制信贷工作过程;
3、 负责本行信贷相关报表资料的搜集、整理、汇总、上报工作;
4、 负责本行新产品的营销工作,为顾客提供全方位的服务;
5、 负责组织本行公司、票据等业务的营销、经营、市场拓展及产品开发等。
6、 上级领导交办的其他工作。
营业室的部门职责
1、 认真学习、严格遵守结算业务的各项规定及法律法规。
2、 负责办理储蓄业务。储蓄业务包括个人活期储蓄的存取款、定期储蓄的存取款、个人银行结算帐户结算业务、零存整取业务、外币业务、其他业务。
3、 负责办理会计业务。会计业务包括一般结算业务、清算业务以及贷款的核算工作等其他业务,并形成会计报表。
综合部经理:业务部经理:营业室主任:
各部门主要负责人名单
XXX XXX XXX
第二篇:村镇银行财务管理制度
第一章 总则
第一条 为了规范村镇银行的财务管理,加强财务监督,维护投资人和债权人的合法权益,根据《中华人民共和国公司法》、《中华人民共和国会计法》、《中华人民共和国企业所得税法》、《金融企业财务规则》、《企业会计准则》等经济金融法律法规,制定本制度。
第二条 本制度适用于村镇银行及所属机构。村镇银行是依法登记注册的,实行独立核算,自主经营、自担风险、自负盈亏、自我约束,具有法人地位的股份制金融企业。
第三条 村镇银行的经营活动和财务管理工作,应遵循有关法律、法规,并接受财政、税务和金融监管机构的监督和检查。
第四条 村镇银行财务管理的目标是,在有效防范和化解财务风险的前提下,保持持续、稳定、快速的盈利增长,提高资本回报率,实现股东财富最大化。
第五条 实行财务报告制度。村镇银行在购买各类资产单件价值超过五万元时,应报主发起行审批或备案。
第二章 所有者权益和负债管理 第六条 所有者权益是股东对村镇银行净资产的所有权,包括实收资本(股本)、资本公积、盈余公积和未分配利润,其金额为资产减去负债后的余额。
第七条 村镇银行设立时必须有法定的资本金,法定资本金是股东在工商行政管理部门登记注册时实际缴纳的出资额。
第八条 村镇银行吸收的存款应按照有关监管机构的要求足额缴纳存款准备金。
第三章 固定资产管理
第九条 固定资产是指为生产商品、提供劳务、出租或经营管理而持有,使用寿命超过一个会计年度的有形资产。包括房屋及建筑物、电子设备、运输设备、机器设备、工具器具等。
第十条 低值易耗品是指不符合固定资产确认条件的各种用具或物品。下列物品不论单位价值大小,均为低值易耗品:密押机、点钞机、铁皮柜、保险柜、打捆机、计息器、记账机、印鉴鉴别仪、压数机、打孔机。低值易耗品可一次或分次摊入成本。
第十一条 固定资产应当按照成本进行初始计量。包括为购建某项固定资产达到预定可使用状态前所发生的一切合理的、必要的支出。
第十二条 除已提足折旧仍继续使用的固定资产和单独计价入账的土地外,应当对所有的固定资产计提折旧。固定资产折旧应采用分类、按月计提的方法,计入管理费用。当月增加的固定资产,当月不计提折旧,从下月起计提折旧;当月减少的固定资产,当月仍计提折旧,从下月起不计提折折旧。
第十三条 固定资产残值率为固定资产原值的3%。折旧年限按照固定资产尚可使用年及有关规定确定。折旧方法采用年限平均法。
第十四条 建立固定资产卡片或台帐,并定期进行清查,做到帐、卡、物相符。
第十五条 期末对固定资产进行减值测试,对存在减值的固定资产要足额计提减值准备。减值损失确认后,减值资产的折旧应当在未来期间作相应调整,以使该资产在剩余使用寿命内,系统地分摊调整后的资产账面价值。资产减值损失一经确认,在以后会计期间不得转回,以前期间计提的资产减值准备,需要等到资产处置时才可转出。
第十六条 固定资产的盘亏、盘盈和处置形成的净收益或净损失计入营业外收入或营业外支出。
第四章 现金管理
第十七条 现金资产包括库存现金、存款准备金、结算备付金、一般转存款、存放同业款项以及其他形式的现金资产。
第十八条 发生出纳长短款、结算业务差错款等,应及时查明原因,明确责任,按照“长款归公、短款自补”的原则处理。
第十九条 对现金资产业务要建立严格的授权批准制度,明确审批人对业务的授权批准方式、权限、程序、责任和相关控制措施,明确经办人的职责范围和工作要求。
第五章 贷款管理 第二十条 贷款的发放应当符合国家产业政策,要建立规范的贷款审批制度和监督控制制度。应在执行国家利率政策的前提下,科学合理的制定利率水平,正确计算贷款利息。并按照贷款五级分类有关规定对贷款形态进行分类认定。
第二十一条 贷款本金按照实际发生额计价,按照合同利率和期限计算应收利息。
第二十二条 票据贴现贷款按照贴现票据的面值计价入账,贴现票据价值与支付给贴现申请人款项的差额计入当期损益。
第二十三条 抵债资产处置应采取公开拍卖方式,拍卖所得扣除相关费用后与抵债资产接收价格差额部分计入营业外收支。
第二十四条 期末按照正常类贷款余额的1%、关注类贷款余额2%、次级类贷款余额的25%、可疑类贷款余额的50%、损失类贷款余额的100%的比例足额计提贷款损失准备。对有确凿证据表明无法收回的贷款,经授权审批后及时予以核销。
第六章 其他类资产管理
第二十五条 其他类资产包括无形资产、长期待摊费用和其他资产。
第二十六条 无形资产是指企业拥有或者控制的没有实物形态的可辨认非货币性资产。通常包括专利权、非专利技术、商标权、著作权、特许权、土地使用权等。
第二十七条 无形资产按实际成本计量,即以取得无形资产并使之达到预定用途而发生的全部支出,作为无形资产的成本。对使用寿命有限的无形资产应当在其使用寿命内,采用合理的摊销方法进行摊销。对于使用寿命不确定的无形资产,持有期间内不需要摊销,在每个会计期间进行减值测试,如经减值测试表明已发生减值,则需要计提相应的减值准备。
第二十八条 长期待摊费用是指企业已经支出,但摊销期限在1年以上(不含1年)的各项费用,包括开办费、租入固定资产的改良支出以及摊销期在1年以上的固定资产大修理支出等。筹建期间发生的费用,除购置和建造固定资产以外,应先在长期待摊费用中归集,待开始经营起一次计入开始经营当期的损益。
第二十九条 长期待摊费用按月或季在摊销期限内均衡摊销。待摊费用摊销时,应根据具体内容,分别计入具体的费用项目。如果某项待摊费用已经不能使本行受益,应当将其摊余价值一次全部转入当期成本、费用,不得再留待以后期间摊销。
第三十条 其他应收款是指在经营过程中发生的暂时挂账的各类款项,包括职工差旅费借款、待处理出纳短款、待结案诉讼费和待处理案件资金挂账等具体项目。对其他应收款入账应建立入账和核销审批制度。登记台账,定期核对,及时清理销账。期末根据其他应收款可回收可能性计提坏账准备,对确实无法收回的经有权审批人审批后及时核销。
第七章 收入管理
第三十一条 收入包括营业收入和营业外收入 第三十二条 营业收入指在日常活动中形成的、会导致所有者权益增加的、与所有者投入资本无关的经济利益的总流入。主要包括贷款利息收入、金融机构往来收入、手续费收入、补贴收入和其他营业收入等。实现的各项收入应合理计入相应的会计期间。
第三十三条 营业外收入指发生的与日常活动无直接关系的各项收支。包括固定资产盘盈收入、固定资产清理净收入、无形资产清理净收入、待处理抵债资产持有收入和处置净收入、罚款收入以及确实无法支付而按规定程序经批准后转作营业外收入的应付款项等。营业外所有收入的款项应及时、足额收妥入账。不得挤占挪用,不得冲减费用和滞留账外并形成小金库,不得私设会计账簿。
第八章 支出管理
第三十四条 支出包括成本费用支出和营业外支出。 第三十五条 成本费用支出指经营管理过程中发生的与经营有关的支出,包括利息支出、金融机构往来支出、管理费用和其他营业支出。
第三十六条 营业外支出是指企业发生的与日常活动无直接关系的各项支出。对营业外支出应履行严格的审批程序。
第三十七条
应当严格区分本期成本与下期成本、成本支出与营业外支出、收益性支出与资本性支出的界限。建立健全严格的支出审批制度,对大额支出要建立集体决策制度。
第三十八条 管理费用指在办理业务和经营管理过程中发生的费用支出,按支出性质分为人员费用(包括工资、临时工工资、内退职工基本生活费、职工福利费、工会经费、职工教育经费、基本养老保险费、失业保险费、工伤保险费、生育保险费、基本医疗保险费、住房公积金、住房补贴、补充养老保险费、补充医疗保险费、辞退福利等)和业务费用(包括公杂费、差旅费、会议费、外事费、邮电费、印刷费、水电费、劳动保护费、车船使用费、宣教费、取暖降温费、租赁费、钞币运送费、电子设备运转费、安全防卫费、修理费、财产保险费、法律事务费、审计费、研究开发费、咨询费、广告费、业务宣传费、业务招待费、物业管理费、税金、监管费、摊销费、折旧费用、其他费用等)。
第九章 利润及其分配管理
第三十九条 利润是指在一定会计期间的经营成果。利润包括收入减去费用后的净额、直接计入当期利润的利得和损失等。
第四十条 本年实现净利润,应当按照弥补以前年度亏损、提取法定盈余公积金和公益金、向投资者分配利润的顺序进行分配。法定盈余公积金按照本年实现净利润的10%提取,法定盈余公积金累计达到注册资本的50%时,可不再提取。
第十章 财务信息披露
第四十一条 财务报告是企业对外提供的反映企业某一特定日期的财务状况和某一会计期间的经营成果、现金流量等会计信息的文件。财务报告包括财务报表和其他应当在财务报告中披露的相关信息和资料。 第四十二条 财务报告包括资产负债表、利润表、现金流量表、所有者权益(或股东权益)变动表和附注。
第四十三条 财务报告应按月、季、年编制,并按规定及时、准确、完整的报送有关部门。
第十一章 附则
第四十四条 本制度由新型农村金融机构管理总部负责解释和修订。
第四十五条 本制度颁布之日起生效。
第四十六条 本制度未尽事宜执行财政部《金融企业财务规则》、《企业会计准则》及其他外部监管有关规定。
第三篇: XXXX村镇银行科技信息中心岗位职责
科技负责人职责
一、本行办公室下设科技信息中心,办公室全面负责科技信息中心管理工作,组织本部门人员完成计划工作任务。
二、办公室拟订本部门工作计划、工作实施方案,提出工作措施,报批后组织实施。
三、科技负责人拟订、调整、完善本部门人员岗位职责和考核办法,报批后组织实施。
四、科技负责人负责提出、修订本部门的岗位责任制、操作规程和业务流程,做好各岗位的分工合作,协调各项业务工作的顺利开展,对员工进行绩效考核。
五、科技负责人对总行、各支行及网点计算机系统运行环境等安全状况及各项制度落实情况进行检查,做好记录,出具检查报告,发现问题及时解决,预防计算机犯罪和重大故障发生。
六、根据市场发展需求以及电子化建设发展的需要,协同业务部门搞好银行新产品的推广应用。
七、完成各类信息系统工作项目的实施上线为我行领导的经营决策提供有效、实用、可靠的信息。
八、负责制定计算机培训计划,合理安排培训计划的实施,提高全辖员工的计算机操作技能。
九、负责科技队伍的团队建设,加强对科技人员技术水平和工作能力的培养。
十、负责科技员的教育、培训和管理工作。
十
一、贯彻国家法律法规和单位各项规章制度、工作要求,做好工作调研,提出工作意见、建议,报批后执行。
十
二、按时上报工作计划、工作总结、报表等相关工作资料,定期向领导报告工作。做好单位上下、内外的协调沟通。
十三、遵守法律规章和单位各项制度、工作职责、工作纪律,讲职业道德、职业操守。按照单位各项工作事务和业务操作规程做好各项工作。
十四、完成单位分配和领导安排的其他工作任务。
科技员岗位职责
一、掌握业务终端仿真机的配置、 存折打印机及其他业务外联设备的安装、管理和维护。
二、负责 IP 地址规划、配置,确保 IP 地址的合理性、有效性和安全性。
三、负责网络管理和维护,确保整个网络系统安全、正常运行。
四、掌握现有网络设备(路由器、交换机等)的安装、管理、维护的技能,确保网络设备正常运行。
五、负责向操作员传授设备的基本性能、使用常识和方法。
六、加强计算机设备管理,定期对网点计算机设备运行检查,确保计算机设备安全使用,减少故障率。
七、每日巡查总行机房,并填写《机房巡查日志》。
八、负责处理营业机构提交的各种业务需求、业务日常问题,确保业务系统正常运行。
九、对我行计算机系统的管理和维护,加强对我行本部人员的计算机操作的指导。
十、服从统一调配,处理突发事件。接到营业网点的网络设备或通讯线路故障报告及时作出响应,按照故障类型及时处理,并及时向部门负责人汇报故障处理结果;属于电信部门的故障要及时与电信部门联系,积极配合电信部门处理好故障,尽量减少故障时间,确保营业网点业务的正常开展。
十
一、贯彻国家法律法规和单位各项规章制度、工作要求,做好工作调研,提出工作意见、建议,报批后执行。
十
二、遵守法律规章和单位各项制度、工作职责、工作纪律,讲职业道德、职业操守。按照单位各项工作事务和业务操作规程做好各项工作。
十
三、完成单位分配和领导安排的其他工作任务。
第四篇:XXXX村镇银行 网上银行业务风险管理制度
第一章 总则
第一条 为加强XXXX村镇银行(以下简称“我行”)网上银行风险管理,通过建立有效的机制,实现对我行网上银行风险的识别、监测和控制,促进网上银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。根据银监会《电子银行安全评估指引》和《电子银行业务管理办法》的要求,制定本体系及相应规章制度。
第二条 本办法适用于我行各管理部门、业务部门、营业机构及全体员工。
第二章 内容概述
第三条 要达到落实风险管理的目的,须通过建立相应的安全管理组织架构及规章制度来进行。
此部分包括三个方面的内容:
1. 网上银行安全体系组织架构设计(以下简称组织架构); 2. 网上银行安全职能/角色设计(以下简称职能/角色); 3. 网上银行安全系统的内部控制机制。
1 第三章 网上银行安全组织架构图
第四条 我行网上银行角色设计:
在执行董事下设置信息科技管理委员会,信息科技管理委员会负责信息安全管理工作,其中一部分为网上银行安全管理,兴业银行(委托方)为我行信息系统外包服务商,负责我行外包信息系统软件开发及运行维护。
网上银行安全管理角色分布在下述部门,分别是营业部、财务会计部、信息科技部。网上银行安全组织架构如下图所示:
第四章 职能简介
第五条 执行董事职能: 1. 批准网上银行的安全策略;
2. 批准网上银行安全体系内各部门信息安全职责; 3. 负责组织信息科技管理委员会;
4. 审核信息系统安全报告,并做出相关的决定; 5. 确保建立安全体系所必需的资源。 第六条 信息科技管理委员会职能:
1. 负责组织信息资产的风险评估,对风险评估报告进行评审,并制定相应的风险控制措施;
2. 负责监视运营过程中信息资产所面临的威胁和脆弱点的重大变化,适时组织进行风险评估,确定信息资产的风险接受等级,对网上银行业务运营中出现的信息安全隐患及时提出控制措施;
2 3. 负责评审重大信息安全违规、违纪及泄密事件,并建议处理意见;
4. 负责网上银行安全体系的策划;
5. 向执行董事报告网上银行安全体系的运行情况和任何改进的需求; 6. 确保网上银行安全体系所需的过程建立、实施和保持; 7. 确保提高全体员工的信息安全意识;
8. 批准我行的信息安全策略和风险控制措施,可接受的风险等级及残余风险; 9. 批准业务连续性计划;
10. 批准对已证实的重大的安全违规、违纪事件及泄密事件的处理意见;
11. 批准并组织实施内部审计计划;
12. 与网上银行安全体系有关事宜的对外联络。 第七条 网上银行信息安全管理职能: 1. 负责宣传和贯彻银行的信息安全策略; 2. 负责组织网上银行安全体系文件的编制;
3. 协助信息科技管理委员会进行信息安全体系的建设,保证网上银行安全管理体系的有效运行;
4. 及时向信息科技管理委员会报告重大的信息安全事故; 5. 负责计算机网络规划,制定网络安全策略并实施; 6. 负责通信系统运行安全;
7. 负责监视运营过程中计算机和网络所面临的威胁和脆弱点的重大变化,及时完善安全策略,保证计算机网络的安全;
3 8. 负责离职员工计算机数据清理及杀毒;
9. 负责信息安全体系内部审核工作的组织和实施; 10. 负责制定、实施员工信息安全培训计划。 第八条 信息安全审计监察职能: 1. 负责网上银行整体安全审计工作; 2. 审核各部门网上银行安全策略文件; 3. 审核各部门网上银行安全策略执行情况; 4. 审核各部门网上银行安全记录; 5. 审核各部门网上银行安全整改情况;
6. 负责我行系统内各类案件、事故的立案、调查、处理工作,并做好管理、统计与分析工作。 第九条 行政管理职能:
1. 负责职能范围内有关信息安全管理文件的编制; 2. 负责根据我行有关保密规定,审查对外发布的信息,防止泄密事件的发生;
3. 负责我行归档文件和资料的信息安全管理工作; 4. 负责我行传真机对外收、发信息的安全; 5. 负责组织员工安全意识与安全技能培训; 6. 负责进行人员安全管理;
7. 负责网上银行业务风险管理所涉及的法律事务工作,并负责网上银行业务知识产权的保护工作。 第十条 安全保卫职能:
1. 负责我行的安全保卫工作,并制定相应的安全保卫制度; 2. 负责我行消防设施的建设、管理,并制定相应的防火、防盗安全管理制度;
4 3. 负责向信息科技管理委员会报告重大的防火、防盗安全事件,并及时进行适当的处理; 4. 负责门禁管理系统的运行和维护,并监督物理环境的安全;
5. 负责电视监控及电视监控系统的维护。发现安全隐患应进行及时报告、处理;
6. 负责安防报警系统的24小时监控和维护,一旦发生安防报警应立即处理。
第十一条 网上银行业务安全管理职能: 1. 协助宣传和贯彻银行的信息安全策略; 2. 协助网上银行安全体系文件的编制;
3. 协助信息科技管理委员会进行信息安全体系的建设,保证网上银行安全管理体系的有效运行; 4. 负责网上银行业务安全的建设、管理;
5. 及时向信息科技管理委员会报告重大的信息安全事故; 6. 贯彻落实网上银行监管的各项规定与政策,编制各类报表并及时上报;
7. 拟定网上银行管理、运营的各项规章制度;
8. 配合市场营销部门提供客户服务,配合市场营销部门组织开展网上银行业务的市场调研、产品开发及产品完善工作;
9. 落实网上银行风险管理政策及内控要求,确保网上银行业务运行的连续性和安全性。 第十二条 信息系统运维管理职能:
5 1. 负责制定信息系统运维相关资产管理、介质管理、设备管理、监控管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、信息系统变更管理、安全事件处理、数据备份与恢复管理、信息系统应急预案、密码安全、交付管理等相关规章制度; 2. 负责信息系统运维环境网络安全管理;
3. 负责信息系统运维环境物理机房安全监控管理; 4. 负责信息系统运维环境主机安全管理,包括但不限于对服务器操作系统、数据库等安全进行管理; 5. 负责信息系统运维环境应用安全管理;
6. 负责信息系统运维环境数据安全管理,包括但不限对外包服务所涉及的重要业务数据、鉴别信息等的安全管理。
第五章 网上银行安全系统的内部控制机制 第十三条 内部控制环境:
内部控制环境是网上银行内部控制体系运行的基础和土壤,是推动网上银行安全运行,健康发展的引擎,是内部控制体系的关键所在。我行网上银行内部控制环境主要包括网上银行安全体系的组织架构及其职能、内部控制政策和程序。
网上银行安全体系组织架构的设置是把实现风险控制目标所需要的工作进行分解,并根据专业化分工、有效协调和精简节约的原则进行机构与部门的设计,以规范网上银行风险管理工作及其相互间的关系。
6 第十四条 安全体系和技术: 1. 网络及安全设备拓扑图
2. 网络及安全设备的布署策略 见兴业银行 3. 整体安全策略
因特外网和DMZ区接入互联网,直接面对各种攻击,对系统安全性要求较高,因此在设计系统方案的时候,充分的考虑了系统对安全方面的特殊要求,在网络、硬件、系统、应用、数据等五个层面考虑了详细的安全措施:
3.1 网络安全
(1)网银WEB服务器和外部因特网间采用防火墙进行隔离,网银WEB访问只能访问位于DMZ停火区的服务,并在该防火墙上只接受443端口的HTTPS的访问。
(2)所有的HTTPS访问由SSL安全网关认证客户身份,并
7 建立SSL安全通道,实现通讯安全。SSL安全网关双臂链接,确保外部密文,内部才有明文。
(3)SSL安全网关将解密的请求提交给IPS入侵防御服务器,检测各类攻击,阻断恶意的通信。IPS入侵防御双臂链接。
3.2 硬件安全
(1)本系统中配置的所有计算机系统均采用当前成熟的计算机安全方案,满足C2级安全标准。
(2)平台设备的配置应考虑设备运行的安全稳定,系统达到最大容量时,平台所有设备能安全稳定运行。
(3)核心硬件均考虑了双电源设计方案。 3.3 系统安全
(1)本此配置的系统中均采用unix或linux操作系统,具有较高的安全性,同时在实施中将严格按照当前最新的补丁进行加载,并在后续维护中及时更新系统安全补丁,以保证系统的安全性。
(2)在系统实施中,通过启用日志功能和安全审计功能,及时对系统进行安全审计,保证系统的安全性
3.4 应用安全
(1)系统在数据传输、处理等过程中提供数据检验,核对功能和纠错功能,以保证应用系统的正常运行。
(2)主机操作系统定期进行自动备份。
(3)通过系统软件功能,系统管理用户可以方便地对系统数据进行维护,清理过期的和挤压的数据或文件。
(4)系统具有提供分权分级管理功能,只有系统管理员可以使用超级用户登录。
8 3.5 数据安全
数据传输采用SSL安全通道包括保证数据传输过程中不被侦听、不被篡改、插入等。
4. 业务安全策略
网上银行系统通过安全代理服务器、防火墙等系统来保证系统的安全性,以及通过负载均衡来保证系统的高可用性,这只是从网络环境和系统结构的角度保证系统安全,整个网上银行系统的安全性应该是一个多层次的概念。
网上银行系统本身还需要从业务功能的角度来保证网上银行业务的安全性。主要从以下几个方面来保证:
(1)严格的用户权限管理机制,灵活的用户角色划分和管理;
(2)多维的交易权限管理机制,企业关键交易提供多重组合授权功能;
(3)涉及账务的关键交易要求做数字签名; (4)完备的交易日志和操作日志;
(5)个人网银、企业网银都使用双重身份认证,个人网银使用静态密码+动态口令卡或静态密码+带按键的U-key;企业网银全部使用静态密码+带按键的U-key;
(6)高风险账户操作定义:账户转移资金单笔超过1000元,日累计超过3000元,高风险账户操作必须使用带按键的U-key。
4.1 登录控制
个人网银客户使用安全证书、登录ID和登录密码进入个人网银系统。
企业网银客户使用安全证书、登录ID和登录密码进入企业
9 网银系统。
首次登录强制修改密码,提示密码强度,对于密码设置过于简单的强制要求修改密码。
登录日志中记录客户访问系统的远程IP地址和时间等详细信息,可以统计客户访问系统的次数。
对于不使用证书登录的应用系统登录页面,会产生图形格式的随机附加码(该功能可由银行选择使用),用户在输入认证信息后,还需要输入此附加码方可登录系统,防止用程序恶意破解密码。
系统还对客户登录密码输入次数进行记录,如果客户密码输入次数累计达到一定的值(具体值由银行设置),系统会自动将此客户冻结,防止恶意攻击。
4.2 会话管理(Session)
网上银行系统与应用服务器的会话管理结合,实现多种会话的建立和管理,让不同的会话采用统一的管理机制。以及动态负载均衡状态下的会话数据同步。同时实现会话的超时管理,有效防范避免黑客使用已经失效的会话攻击系统,同时防止垃圾会话数据占用内存,影响系统性能甚至使系统无法工作。
网银系统中登录的每一个客户都会有唯一Session用于保存客户在运行期内的主要信息,以供客户交易时使用,在客户退出系统时失效;同时,为避免过多的占用系统资源,以及从安全的角度考虑,系统中未使用的Session(因客户操作不当造成)在存在一定时间后会失效。Session管理包括:Session建立,Session超时处理,Session清理。
4.3 Session管理机制
10 系统会在客户登录成功之后为其在应用服务器内存中建立Session,在客户后续的交易请求中,系统不断检查内存中Session的有效性,如果Session失效(没有、超时或被人窜改),则交易请求是非法的,系统不予接受。
4.4 Session超时处理
Session超时处理包括两部分:Session时间戳重置,Session超时检查。
Session时间戳重置是指在有新的交易请求提交到交易平台时,系统首先检查Session是否超时,如果未超时,则重置Session的时间戳,继续后续操作;否则,执行Session超时处理,向客户返回超时信息。
Session超时检查是指为防止垃圾Session的在内存中堆积而占用系统资源,系统通过后台线程定时检查超时Session,并将其从内存中清除,从而释放系统资源。
4.5 Session实时检查
网上银行系统里各种复杂交易流程都是通过交易步骤的形式参数化配置到XML文件中去的。网上银行交易请求发送到交易平台时,在每个交易的配置定义中,第一个交易步骤必须是Session检查交易步骤,来检验Session有效性。
当交易请求不是直接发送到交易平台,而是通过发送到JSP页面来完成交易时,在响应请求的JSP页面头部也有加入Session检查代码,来检验Session有效性。
4.6 用户角色管理
网上银行系统对使用该系统的各子系统的不同类用户进行统一的角色划分。每一种角色都分配给对应该角色权限的功能组
11 合。登录网上银行的用户都有确定的角色,根据自己所属角色得到权限范围内的网上银行功能菜单。这样就能把属于不同角色的客户权限严格分开。
角色的划分以及角色对应功能的分配都可以由系统管理员灵活定制。另外各级管理柜员(内部管理子系统的管理柜员)或企业管理员(对公网银子系统的企业管理员)还可以对自己有权管理的网银用户进行基于角色的功能过滤,即在每个用户所属角色对应的功能组的基础上,进一步进行个性化的功能过滤。
系统用户把交易请求发送到交易平台后,首先进行session校验,在校验通过后即进入权限校验的交易步骤。在该环节主要是根据用户所属角色和功能过滤情况判断该用户是否有操作该交易的权限。
4.7 用户权限设置
个人网银子系统用户需要设定单笔转账限额和每日转账限额,通过设定限额的方式来减小个人转账带来的风险。
对公网银子系统的操作员的用户分为提交人和授权人。提交人有指令提交的权限,授权人没有指令提交的权限,授权人可以对指令进行授权操作。客户可以设置每笔转账的最大限额和客户账户一天的最大转账限额。
(1)指令提交人只有基本限额。授权人的操作限额分为基本限额和组合限额。只有指令在第一次被授权时,系统优先判断授权人的基本限额,其它情况下的授权,系统都只使用授权人的组合限额做处理。
(2)特殊业务客户可自行制定授权的先后顺序,如可优先进行组合授权。
12 (3)对指令提交人还有日累计转账限额,提交人在当日内提交的所有指令的金额的总和小于等于日累计转账限额,否则指令不能提交。
(4)指令分为单笔指令和批量指令两种。企业的用户只有开通批量的权限,提交人才能提交批量指令,授权人才能对批量指令进行授权。批量指令的处理,采取客户端离线录入,上传网银服务器后在线复核模式。
4.8 交易信息的防篡改
为防止交易信息被篡改,网银客户端采用了两个机制。 (1)提交的交易信息以图片的形式显示给客户确认。客户提交的交易信息包括转出帐号、转入帐号、金额、币种、同时提取相关信息生成确认码,以上信息生成图片,客户检查图片内容,输入确认码,完成交易信息确认。
(2)对提交交易信息的整个网页进行数字签名。 4.9 交易的提交签名和多级批复机制
当有提交转账交易的操作员提交转账交易时,系统通过安全代理,要求用户数字签名,用户输入证书密码后,安全代理对需要签名的数据(服务器端指定)签名后传回服务器。只有通过签名验证的交易才能被确定。
企业网上银行支持多人多级授权方式,可以适合不同企业不同的的财务授权制度。
提交人提交指令时,如果提交指令的金额不超过(小于或等于)提交人的基本限额,指令不需授权就由系统进行发送处理;如果提交指令的金额超过(大于)提交人的基本限额,指令等待授权人授权。
13 4.10 批量指令的签名提交和多级批复机制
与一般转账交易的处理流程类似,如果采用安全代理服务器,则需要用户自己对批量文件通过所提供的批量签名程序进行签名。签名后,由具有批量提交权限的用户传递到网上银行系统,等待具有批量批复权限的用户进行批复。
4.11 我行内部管理交易的授权
对于我行内部管理交易中的关键交易,网上银行系统提供两种授权模式,一种是柜员提交时需要授权柜员输入授权柜员号和授权密码;另一种模式是柜员提交后,需要授权柜员登录网上银行内部管理系统,对柜员提交的指令进行批复。
4.12 可疑日志查询
我行内部管理的柜员可以登录网上银行内部管理系统,查询可疑的日志,可疑日志的记录类型包括密码连续输入错误导致用户被冻结等。我行可以通过客户服务系统或统一消息发送平台等渠道通知用户。
4.13 关键信息加密存储
系统对所有关键信息(如密码),都加密成密文进行存储,防止内部柜员读取关键信息明文。
4.14 支付指令核押
对于每一笔支付指令,系统都根据指令关键信息生成一个支付密码串,供后台系统核押,有效防止内部人员伪造支付指令。
4.15 应用访问控制
系统只开放提供用户访问的接口,而且通过接口只能完成系统提供的功能,有效防范黑客攻击。
4.16 日志审计
14 网上银行系统具有完备的日志审计功能。用户每次登录、退出及用户的每次交易都会产生一个完整的审计信息,并进行记录。这样就方便日后的查询、核对等各项工作。
第十五条 风险监测与识别
内部审计部门根据业务的性质、规模和复杂程度,对网上银行相关系统及其控制的适当性和有效性进行监测。内部审计部门配备足够的资源和具有专业能力的信息科技审计人员,具有适当的授权访问本银行的记录。同时可以在符合法律、法规和监管要求的情况下,委托具备相应资质的外部审计机构对网上银行进行外部审计,在委托审计过程中,要确保外部审计机构能够对网上银行的硬件、软件、文档和数据进行检查,以发现存在的风险。
由财务会计部专门负责网上银行的风险管理工作,负责协调制定有关网上银行的风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门、内部审计部门和电子银行部提供建议及相关合规性信息,实施持续风险监测,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。
科技部将扫描查找假冒网站及其他针对网上银行的犯罪活动纳入日常工作程序,定期搜索假冒网站、假冒客服电话,检查网站链接的可靠性,并通过网站、客服电话等渠道接受公众举报。建立健全Web服务器异常访问监控机制及渗透性攻击检测机制,通过对Web服务器访问日志提取和分析,及时监控端口扫描、暴力破解等可疑行为。
第十六条 风险信息处理与报告
我行网上银行安全组织架构中的各部门按照各自职能执行风险管理工作,并直接向信息科技管理委员会或安全负责人报告
15 重大信息安全事故、安全体系建设情况、安全策略文件等工作。由信息科技管理委员会或安全负责人负责监督各项职责的落实,定期向来自高级管理层、电子银行部、信息科技部和主要业务部门的代表组成的专门信息安全领导小组汇报网上银行风险管理执行的整体状况。按有关规定,由突发事件应急处置领导小组办公室执行重大突发事件报告制度,在规定时间内向青岛市人民政府、青岛银监分局、人民银行青岛市中心支行等有关单位报告。
第十七条 信息披露和客户风险教育
我行依据有关法律法规的要求,发现风险立即采取防范措施,并通过网站或其他渠道规范和及时披露网上银行风险状况,有效维护存款人和其他客户的合法权益,促进网上银行安全、稳健、高效运行。
我行将通过柜台提醒、网站提醒、上门培训、发放客户风险提示手册等多渠道向客户进行风险教育。
第十八条 应急处理
我行网上银行安全系统建立事故管理及处置机制,及时响应信息系统运行事故,逐级向相关的网上银行管理人员报告事故的发生,并进行记录、分析和跟踪,直到完成彻底的处置和根本原因分析。建立服务平台,为客户提供相关技术问题的在线支持,并将问题提交给相关部门进行调查和解决。
第十九条 持续改进
风险是不断变化的,要实现对风险的动态防范,内部控制体系必须具有动态性和自我改进机制。内部控制体系不是一个静态系统,而是一个可以进行持续改进的动态系统,能随内部环境的变化和国家法律法规、政策制度等外部环境的改变及时进行相应
16 的修改和完善。我行网上银行通过内部审核、内部控制政策、内部控制目标、内部控制评结果、风险识别与评估结果和风险控制方案执行情况的监控、管理评审、各种内部或外部检查或审计稽核以及内控相关数据的分析与记录,纠正和预防措施等,不断地对内控体系的目标、政策、程序进行调整和完善,提高风险内控体系的有效性、适宜性、合规性和充分性。
第六章 附则
第二十条 本办法由我行负责解释和修订。 第二十一条 本制度自下发之日起施行。
第五篇:大安惠民村镇银行反洗钱——新内控制度
大安惠民村镇银行有限责任公司 洗钱和恐怖融资风险评估及 客户分类管理内控制度
第一章 总 则
第一条 为深入实践风险为本的反洗钱方法,加强大安惠民村镇银行有限责任公司(以下简称“本行”)洗钱和恐怖融资(以下统称洗钱)风险,合理确定客户洗钱风险等级,提升反洗钱和反恐怖融资(以下统称反洗钱)工作有效性,根据《中华人民共和国反洗钱法》、《金融机构反洗钱规定》、《金融机构洗钱和恐怖融资风险评估及客户分类管理指引》等相关法律法规,制定本制度。
第二条 本制度适用于本行各机构。
第二章 风险评估指标体系
第三条 指标体系概述
洗钱风险评估指标体系包括客户特性、地域、业务(含金融产品、金融服务)、行业(含职业)四类基本要素。
第四条 风险子项
(一)客户特性风险子项。
各机构应综合考虑客户背景、社会经济活动特点、声誉、权威媒体披露信息以及非自然人客户的组织架构等各方面情况,衡量本机构对其开展客户尽职调查工作的难度,评估风险。
(二)地域风险子项。
各机构应衡量客户及其实际受益人、实际控制人的国籍、注册地、住所、经营所在地与洗钱及其他犯罪活动的关联度,并适当考虑客户主要交易对手方及境外参与交易金融机构的地域风险传导问题。
(三)业务(含金融产品、金融服务)风险子项。 各机构应对各项金融业务的洗钱风险进行评估,制定高风险业务列表,并对该列表进行定期评估、动态调整。
(四)行业(含职业)风险子项。
各机构应评估行业、身份与洗钱、职务犯罪等的关联性,合理预测某些行业客户的经济状况、金融交易需求,酌情考虑某些职业技能被不法分子用于洗钱的可能性。
第五条 风险等级划分
(一)“高”风险等级客户
1.短期内资金分散转入、集中转出或者集中转入、分散转出,与客户身份、财务状况、经营业务明显不符。
2.短期内相同收付款人之间频繁发生资金收付,且交易金额接近大额交易标准。
3.法人、其他组织和个体工商户短期内频繁收取与其经营业务明显无关的汇款,或者自然人客户短期内频繁收取法人、其他组织的汇款。
4.长期闲臵的账户原因不明地突然启用或者平常资金流量小的账户突然有异常资金流入,且短期内出现大量资金收付。
5.与来自于贩毒、走私、恐怖活动、赌博严重地区或者避税型离岸金融中心的客户之间的资金往来活动在短期内明显增多,或者频繁发生大量资金收付。
6.没有正常原因的多头开户、销户,且销户前发生大量资金收付。
7.疑似符合提前偿还贷款,与其财务状况明显不符。
8.疑似符合客户用于境外投资的购汇人民币资金大部分为现金或者从非同名银行账户转入。
9.客户要求进行本外币间的掉期业务,而其资金的来源和用途可疑。
10.客户经常存入境外开立的旅行支票或者外币汇票存款,与其经营状况不符。
11.外商投资企业以外币现金方式进行投资或者在收到投资款后,在短期内将资金迅速转到境外,与其生产经营支付需求不符。
12.外商投资企业外方投入资本金数额超过批准金额或者借入的直接外债,从无关联企业的第三国汇入。
13.证券经营机构指令银行划出与证券交易、清算无关的资金,与其实际经营情况不符。
14.证券经营机构通过银行频繁大量拆借外汇资金。
15.保险机构通过银行频繁大量对同一家投保人发生赔付或者办理退保。
16.自然人银行账户频繁进行现金收付且情形可疑,或者一次性大额存取现金且情形可疑。
17.居民自然人频繁收到境外汇入的外汇后,要求银行开具旅行支票、汇票或者非居民自然人频繁存入外币现钞并要求银行开具旅行支票、汇票带出或者频繁订购、兑现大量旅行支票、汇票。
18.多个境内居民接受一个离岸账户汇款,其资金的划转和结汇均由一人或者少数人操作。 19.托欠银行贷款或有不良贷款记录。
20.客户有意刁难,有损银行形象,有严重违规行为。 21.开户期间资金频繁发生,且账户使用3-5天办理销户。 22.对公客户累计3次签发空头支票。
(二)“低”风险等级客户
1.办理账户开户资料真实齐全,不存在虚假开户资料、证照过期和未年检现象。
2.个人存款账户实行实名制,并依据《金融机构客户身份识别和客户身份资料及交易记录保存管理办法》对客户身份信息进行核查相符。
3.款项的转入转出符合客户身份、经营范围,交易金额符合客户经营规模。 4.提取大额现金表明用途,提前预约。
5.汇划资金流向清晰完整,无刻意隐瞒、藏匿之行为。 6.规范经营,无欺诈行为,不存在洗钱活动。
(三)“中”风险等级客户
为高风险等级客户和低风险等级客户以外的其他客户。
第三章 风险评估及客户等级划分操作流程
第六条 对于新建立业务关系的客户,各机构应在建立业务关系后的10个工作日内划分其风险等级。
第七条 对于已确立过风险等级的客户,各机构应根据其风险程度设臵相应的重新审核期限,实现对风险的动态追踪。原则上,风险等级最高的客户的审核期限不得超过半年,低一等级客户的审核期限不得超出上一级客户审核期限时长的两倍。对于首次建立业务关系的客户,无论其风险等级高低,各机构在初次确定其风险等级后的三年内至少应进行一次复核。
第八条 当客户变更重要身份信息、司法机关调查本机构客户、客户涉及权威媒体的案件报道等可能导致风险状况发生实质性变化的事件发生时,本机构应考虑重新评定客户风险等级。
第九条 操作步骤
(一)收集信息。各机构应根据反洗钱风险评估需要,确定各类信息的来源及其采集方法。信息来源渠道通常有:
1.各机构在与客户建立业务关系时,客户向各机构披露的信息;
2.各机构客户经理或柜面人员工作记录; 3.各机构保存的交易记录;
4.各机构委托其他金融机构或中介机构对客户进行尽职调查工作所获信息;
5.各机构利用商业数据库查询信息;
6.各机构利用互联网等公共信息平台搜索信息。 各机构在风险评估过程中应遵循勤勉尽责的原则,依据所掌握的事实材料,对部分难以直接取得或取得成本过高的风险要素信息进行合理评估
(二)筛选分析信息。评估人员应认真对照风险评估基本要素,对所收集的信息进行归类,逐项评分。
各机构工作人员整理完基础信息后,应当整体性梳理各项风险评估要素。如发现要素项下有内容空缺或信息内容不充分的,可在兼顾风险评估需求与成本控制要求的前提下,确定是否需要进一步收集补充信息。
各机构可将上述工作流程嵌入相应业务流程中,以减少执行成本。
(三)初评。除存在前述例外情形的客户外,各机构工作人员应逐一分析每个风险评估基本要素项所对应的信息,确定出相应的得分。对于材料不全或可靠性存疑的要素信息,评估人员应在相应的要素项下进行标注,并合理确定相应分值。在综合分析要素信息的基础上,各机构工作人员累计计算客户评分结果,相应确定其初步评级。
(四)复评。初评结果均应由初评人以外的其他人员进行复评确认。初评结果与复评结果不一致的,可由总行反洗钱管理部门决定最终评级结果。
第四章 风险分类控制措施
第十条 各机构应在客户风险等级划分的基础上,采取相应的客户尽职调查及其他风险控制措施。
一、对风险较高客户的控制措施
各机构应对高风险客户采取强化的客户尽职调查及其他风险控制措施,有效预防风险。可酌情采取的措施包括但不限于:
(一)进一步调查客户及其实际控制人、实际受益人情况。
(二)进一步深入了解客户经营活动状况和财产来源。
(三)适度提高客户及其实际控制人、实际受益人信息的收集或更新频率。
(四)对交易及其背景情况做更为深入的调查,询问客户交易目的,核实客户交易动机。
(五)适度提高交易监测的频率及强度。
(六)经总行或支行行长批准或授权后,再为客户办理业务或建立新的业务关系。
(七)按照法律规定或与客户的事先约定,对客户的交易方式、交易规模、交易频率等实施合理限制。
(八)合理限制客户通过非面对面方式办理业务的金额、次数和业务类型。
(九)对其交易对手及经办业务的机构采取尽职调查措施。
二、对风险较低客户的控制措施
各机构可对低风险客户采取简化的客户尽职调查及其他风险控制措施,可酌情采取的措施包括但不限于:
(一)在建立业务关系后再核实客户实际受益人或实际控制人的身份。
(二)适当延长客户身份资料的更新周期。
(三)在合理的交易规模内,适当降低采用持续的客户身份识别措施的频率或强度。
(四)在风险可控情况下,允许各机构工作人员合理推测交易目的和交易性质,而无需收集相关证据材料。
第五章 附 则
第十一条 本制度由大安惠民村镇银行有限责任公司负责制定、解释和修改。
第十二条 本制度自发布之日起实施。