XX银行网络金融业务风险管理办法

XX/r/n银行网络金融业务风险管理办法/r/n第一章总则/r/n第一条/r/n为加强网络金融业务风险管理，确保业务安全稳定运行，维护和保障本行及客户的合法权益，根据《中华人民共和国商业银行法》、《电子银行业务管理办法》和《关于促进互联网金融健康发展的指导意见》等法律法规和本行相关制度规定，特制定本办法。/r/n第二条/r/n本办法所称的网络金融业务包括：电子银行业务、与第三方支付机构合作业务、基于互联网技术的新产品和新服务。/r/n（一）电子银行业务系指本行利用面向社会公众开放的通讯通道或开放型公众网络，以及为特定自助服务设施或客户建立的专用网络，向客户提供的银行服务。电子银行业务包括但不限于网上银行、电话银行、手机银行、微信银行、短信银行和自助银行等金融服务。/r/n（二）与第三方支付机构合作业务系指本行与第三方支付机构合作，向客户提供通过计算机、手机等设备，依托互联网发起支付指令、转移货币资金的服务。包括但不限于支付宝快捷（卡通）、财付通快捷（微信支付）等业务。/r/n（三）基于互联网技术的新产品和新服务系指本行依托互联网技术，实现传统金融业务与服务转型升级，向客户提供存款、购买基金和理财产品等投资理财服务，限定额度内的消费和缴费支付等服务。包括但不限于直销银行、云闪付等业务。/r/n第三条/r/n本办法所称的网络金融业务风险管理系指本行对网络金融各类业务风险实施识别、监测、计量、评估、预警、应对和报告，确保业务安全稳定运行的管理活动。/r/n第四条/r/n本行网络金融业务面临的风险种类包括：操作风险、信息科技风险、声誉风险、信用风险、合规风险、案防风险和市场风险等。/r/n（一）操作风险。系指由不完善或有问题的内部程序、人员、系统或外部事件对本行所造成损失的风险。本行操作风险包括法律风险。/r/n（二）信息科技风险。系指信息科技在本行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等造成的风险。/r/n（三）声誉风险。系指由本行经营、管理及其它行为，或外部事件导致利益相关方对本行负面评价的风险。/r/n（四）信用风险。系指在授信过程中，因受信人、担保人或第三方因各种原因，无力、不愿或不能及时、足额履约或偿还债务而构成违约，致使本行遭受损失或不能达到预期收益的可能性。本行信用风险包括国别风险。/r/n（五）合规风险。系指因本行没有遵循法律、规则和准则可能遭受法律制裁、监管处罚、重大财务损失的风险。本行合规风险包含法律风险。/r/n（六）案防风险。系指由本行员工独立或者伙同外部人员实施的，以本行或本行客户的资金、财产为侵害对象的，涉嫌触犯/r/n刑法或已由公安、司法机关依法立案侦查的内部事件；或本行遭受外部诈骗、盗窃、抢劫等侵害的外部事件。/r/n（七）市场风险。系指因市场价格（利率、汇率、股票价格和商品价格）的不利变动，使本行表内外业务发生损失的风险。/r/n第五条/r/n本行网络金融业务风险管理目标是：建立健全网络金融业务风险管理体系和内部控制体系，设立相应的管理机构，明确网络金融业务风险管理责任，有效地识别、监测、评估和控制网络金融业务风险，维护和保障本行和客户的合法权益。/r/n第六条/r/n网络金融业务风险管理基本原则/r/n（一）依法合规原则。网络金融产品和服务不得违反法律法规有关规定以及监管禁止性规定。/r/n（二）风险可控原则。根据业务发展需要，建立相应的风险防范机制和反应机制，实现对各类风险的有效管控，保障和促进业务稳健发展。/r/n（三）审慎管理原则。开办的网络金融业务要认真执行审慎经营原则，分析和论证潜在风险，主动采取应对措施，防化风险隐患。/r/n（四）归口管理原则。网络金融业务风险管理纳入总行全面风险管理体系。总行网络金融事业部按照《/r/nXX/r/n银行全面风险管理框架指引》（华融银董[/r/n2015]25/r/n号）要求，履行业务条线风险管理部门工作职责，归口管理网络金融业务风险日常管理工作；其他相关单位按规定履行网络金融业务风险管理职责，监督、指导和执行网络金融业务风险管理工作。/r/n第二章管理职责/r/n第七条/r/n总行部门职责/r/n（一）网络金融事业部/r/n网络金融业务风险管理的执行部门。负责拟定网络金融业务管理操作制度；负责网络金融业务风险的监测、评估、应对与报告工作；负责监督检查本条线风险管理执行情况；归口管理网络金融风险日常管理工作。/r/n（二）风险管理部/r/n本行全面风险管理的牵头部门。负责监督检查网络金融业务风险管理执行情况；负责指导参与主办和执行部门开展网络金融业务风险控制与缓释；负责向监管部门报告符合本行重要风险事项报送条件的网络金融业务风险事件。/r/n（三）运营管理部/r/n网络金融业务操作风险的主办部门。负责指导、参与执行部门拟定网络金融业务操作制度；负责指导、参与执行部门开展网络金融操作风险的控制与缓释。/r/n（四）信息科技部/r/n网络金融业务信息科技风险的主办部门。负责指导、参与执行部门拟定网络金融业务操作制度；负责网络金融业务信息科技风险的监测与报告；负责指导、参与执行部门开展网络金融信息科技风险的控制与缓释。/r/n（五）综合管理部/r/n网络金融业务声誉风险的牵头部门。负责组织、监督和指导网络金融业务舆情监测工作，及时提示网络金融业务声誉风险隐/r/n患；指导和协助做好网络金融声誉风险的监测、识别、报告和控制等工作。/r/n（六）内控合规部/r/n网络金融业务合规风险和案防风险的牵头部门。负责监督检查网络金融合规风险和案防风险管理执行情况；负责指导、参与执行部门开展网络金融合规风险和案防风险的控制与缓释。/r/n第八条分行部门职责/r/n（一）网络金融业务管理部门/r/n负责监测辖内网络金融业务风险，及时向总行网络金融事业部报告具体风险信号（隐患）和风险事件。辖内发生网络金融风险事件符合本行重要风险事项报送条件的，要按有关规定报告。/r/n负责执行总行网络金融事业部下达的风险控制与缓释措施。/r/n负责监督检查辖内支行条线风险管理执行情况；接受总行网络金融事业部的监督与检查。/r/n（二）风险管理部门/r/n负责指导、参与分行业务管理部门开展网络金融风险控制与缓释；辖内发生网络金融风险事件符合本行重要风险事项报送标准的，要按有关规定报告。/r/n（三）综合管理部门、内控管理部门、运营管理部门和信息管理部门/r/n分行有关管理部门按照总行条线职责分工，负责指导、参与分行业务管理部门开展网络金融相关风险的控制与缓释。/r/n第九条/r/n支行职责/r/n（一）负责监测辖内网络金融业务风险，及时向分行业务管理部门报告具体风险信号（隐患）和风险事件。对符合本行重要风险事项报送标准的网络金融风险事件，及时向分行风险管理部门报告。/r/n（二）负责执行分行业务管理部门下达的风险控制与缓释措施。/r/n（三）接受上级行的监督与检查。/r/n第三章管理规定/r/n第十条/r/n产品研发风险管理/r/n（一）研发网络金融业务创新产品，按照本行金融创新产品准入管理、信息科技项目立项和开发管理的有关规定，严格执行准入发起、设计研发、准入评审、审批投产、投后评价等环节相关要求，控制创新产品风险。创新产品须取得监管部门准入资格的，应按规定办理报批或报备手续并获得监管部门许可。/r/n（二）因业务发展需要，对已推出网络金融业务进行新增业务需求、变更业务需求和系统优化，按照本行信息科技项目开发管理的有关规定执行。/r/n第十一条/r/n服务合同签订/r/n本行向客户提供网络金融的产品和服务，应与客户签订产品和服务协议或合同，明确双方的权利与义务。/r/n在协议或合同中，本行应向客户充分揭示利用网络金融产品和服务进行交易可能面临的风险，本行已经采取的风险控制措施和客户应采取的风险控制措施，以及相关风险的责任承担。/r/n第十二条/r/n客户识别与权限管理/r/n网络金融业务应采取适当的措施和技术，识别与验证使用客户的真实、有效身份，并依照与客户签订的有关协议或合同对客户操作权限、资金转移或交易限额等实施有效管理。/r/n第十三条/r/n客户信息安全保护/r/n网络金融业务要采取必要的管理措施和技术措施，防止网络金融的客户身份资料和交易记录的缺失、损毁，防止泄露客户身份信息和交易信息。要按规定加强网络金融业务的客户信息和隐私保护，不得违法违规泄露。/r/n客户身份资料，自业务关系结束当年或一次性交易记账当年计起至少保存/r/n5/r/n年。交易记录，自交易记账当年计起至少保存/r/n5/r/n年。/r/n第十四条/r/n本行与网络金融各项业务有关的信息科技系统管理应严格遵循有关法律法规和本行制度的规定。/r/n第十五条/r/n外包服务供应商准入管理/r/n（一）本行在选择网络金融业务外包服务供应商时，应充分审查、评估外包服务供应商的经营状况、财务状况、实际风险控制与责任承担能力，进行必要的尽职调查。/r/n（二）在购买外包服务时，应与外包服务供应商签订书面合同，明确双方的权利和义务。合同内容必须明确约定保密责任。/r/n第十六条/r/n第三方支付机构准入管理/r/n（一）本行应与综合实力较强和安全保障能力较高的第三方支付机构合作，对综合实力不强和不具备对等安全保障能力的第三方支付机构，原则上应不予合作。/r/n（二）在与合格的第三方支付机构合作前，双方要签订书面合同，明确双方的权利和义务，并严格遵守国家有关计算机信息系统安全、商用密码管理和消费者权益保护等方面的法律法规。签订的合同中必须约定保密责任和“先行赔付”责任。/r/n第十七条/r/n网络金融业务正式对外推出前，应按规定制定和下发相关业务管理制度，并定期开展制度评价与清理。/r/n第十八条/r/n总行和分行条线管理部门应按规定组织开展网络金融业务反洗钱管理工作。总行条线管理部门制定和执行本条线洗钱风险防控措施，组织开展本条线反洗钱培训宣传和配合反洗钱评估、协查等工作。分行条线管理部门要组织落实总行反洗钱管理工作有关规定。/r/n第十九条 /r/n总行有关部门和分支行要按照《/r/nXX/r/n银行客户投/r/n诉管理办法》有关规定，及时妥善解决网络金融客户投诉问题，避免发生客户过激行为，维护网络金融业务品牌形象和声誉。/r/n第二十条/r/n总行和分行条线管理部门应针对网络金融业务发展与管理的实际情况，制定可行工作计划，持续开展员工业务培训和客户安全教育活动，提高员工和客户的风险防范意识与风险防控能力。/r/n第二十一条/r/n对总行和分行条线管理部门的关键岗位和关键人员，实行轮岗和强制性休假制度。关键岗位的轮换期限、轮岗方式及关键人员强制休假按本行有关规定执行。关键岗位包括：总行电子银行产品研发及运营管理岗，总行互联网金融产品研发及运营管理岗；分行网络金融业务管理岗。/r/n与网络金融业务有关的信息科技条线关键岗位和关键人员的岗位轮换与强制性休假按本行有关规定执行。/r/n第二十二条/r/n总行有关部门要建立和完善网络金融渠道交易风险主动识别和监测机制，及时监测、应对和处理假冒或有意设置类似于本行的电话、网站、短信号码等信息骗取客户信息和资金的活动，防范欺诈风险。运用大数据等技术，加强对客户交易行为和交易习惯的分析，建设动态更新的风险监测模型，加强客户的账户资金活动情况和异常行为的监测，及时发现和处置异常交易和行为。/r/n第二十三条/r/n总行有关部门要探索建立网络金融业务风险补偿机制，通过计提风险赔付基金、购买商业保险等方式，锁定存款人支付风险，保护本行和客户的合法权益。/r/n第四章检查与监督/r/n第二十四条/r/n网络金融业务检查坚持“全面检查和专项检查相结合，现场检查和非现场检查相结合”的原则。检查工作开展前，检查单位拟定检查计划、方案和检查要点，合理有序开展业务检查活动。/r/n（一）现场检查。总行每年选取部分分支机构作为检查对象，对其辖内的网络金融业务开展专项现场检查。/r/n（二）非现场检查。总行根据监管要求和风险管理需要，组织分行开展业务自查。分行应根据总行要求，认真组织落实自查工作，并形成自查报告如实反馈自查及整改落实情况。/r/n第二十五条/r/n总行和分行每年至少应开展一次网络金融业务现场检查。检查单位要对检查中发现的问题下发整改通知，责/r/n成有关单位和人员尽快采取措施，限期纠正，并将有关情况进行通报。/r/n第二十六条/r/n总行稽核部门要将网络金融业务纳入稽核范围，确定稽核的内容和重点，定期或不定期组织稽核检查，有效控制和防范业务风险。/r/n第二十七条/r/n网络金融柜面业务纳入运营条线业务检查范围，各行应按规定开展相关检查工作。/r/n第二十八条/r/n网络金融柜面业务纳入本行事后监督管理范围，按规定进行监督管理。网络金融业务事后监督系指事后监督管理部门对网点柜员手工干预处理的网上银行、电话银行、短信银行和手机银行等电子银行业务的监督管理活动。/r/n第五章安全评估/r/n第二十九条/r/n电子银行安全评估，系指本行在开展电子银行业务过程中，对电子银行业务的安全策略、内控制度、风险管理、系统安全和客户保护等方面进行的安全测试和管控能力的考察与评价。/r/n第三十条/r/n电子银行安全评估工作应符合监管部门有关规定，接受监管部门的监督和指导。/r/n第三十一条/r/n本行根据电子银行业务发展和管理需要，至少每/r/n2/r/n年进行一次全面的安全评估。/r/n第三十二条/r/n本行可以利用外部专业化的评估机构对电子银行进行安全评估，也可以利用内部独立于电子银行业务运营和管理的评估部门进行安全评估。/r/n外部专业化的评估机构必须获得银监会电子银行安全评估的业务资质并具备相应评估能力。/r/n第三十三条/r/n电子银行安全评估必须包括以下主要内容：/r/n（一）安全策略。/r/n（二）内控制度建设。/r/n（三）风险管理状况。/r/n（四）系统安全性。/r/n（五）电子银行业务运行连续性计划。/r/n（六）电子银行业务运行应急计划。/r/n（七）电子银行风险预警体系。/r/n（八）其他重要安全环节和机制的管理。/r/n第三十四条/r/n金融机构开办电子银行业务后，有下列情形之一的，应立即组织安全评估：/r/n（一）由于安全漏洞导致系统被攻击瘫痪，修复运行的。/r/n（二）电子银行系统进行重大更新或升级后，出现系统意外停机/r/n12/r/n小时以上的。/r/n（三）电子银行关键设备与设施更换后，出现重大事故修复后仍不能保持连续不间断运行的。/r/n（四）基于电子银行安全管理需要立即评估的。/r/n第六章重大事项处置/r/n第一节有关规定/r/n第三十五条/r/n网络金融业务重大事项包括：服务中断、重大业务差错和风险事件。/r/n（一）服务中断系指由于系统和网络故障、设备毁损和不可抗力等原因造成客户暂时无法正常办理网络金融业务的事件。/r/n（二）重大业务差错系指由于本行或第三方机构的系统和网络故障导致客户账户资金出现错记、重记、漏记或少记等账务差错的事件。/r/n（三）风险事件系指客户使用本行的电子银行和基于互联网技术的新产品和新服务，而发生账户资金和相关个人金融信息被盗用或泄露的事件；客户通过本行与第三方支付机构合作的快捷支付交易而发生的账户资金损失；本行内部人员故意或过失，造成本行和客户的资金被通过上述渠道而盗用或损失的事件。/r/n第三十六条/r/n总行有关部门和分支行对符合本行重大突发事件标准的网络金融业务重大事项，应按照《关于进一步做好重要风险事项监管报告有关工作的通知》（华融银发[/r/n2014]326/r/n号）有关规定执行。/r/n第三十七条/r/n支行发生或发现网络金融业务重大事项后，要在/r/n10/r/n分钟内向分行业务管理部门电话报告，并在/r/n1/r/n小时内通过内部邮件系统向其报送《网络金融业务重大事项报告》（附件/r/n1）/r/n如发生属于风险事件的网络金融业务重大事项，还要及时报送《网络金融业务风险事件报告》（附件/r/n2）/r/n和《客户非本人交易声明书》（附件/r/n3）/r/n。/r/n第三十八条/r/n分行业务管理部门或总行部门在接到网络金融业务重大事项报告或自身监测到网络金融业务重大事项后，要在/r/n10/r/n分钟内向总行网络金融事业部电话报告，并在/r/n1/r/n小时内通过内部邮件系统报送《网络金融业务重大事项报告》（附件/r/n1）/r/n。/r/n第三十九条/r/n总行网络金融事业部接到网络金融业务重大事项报告或自身监测到网络金融业务重大事项后，凡属于系统和网络故障原因导致的，要立即向总行信息科技部通报处置。/r/n第二节服务中断应急处置/r/n第四十条/r/n网络金融业务服务中断的应急处理应在有效控制风险的前提下，提高应急处理效率，尽量缩小不良影响范围。/r/n第四十一条/r/n遇到服务中断事件，分行和总行相关部门要立即排查原因，尽快恢复系统和网络正常运行，并做好客户解释安抚工作。对于能够通过营业网点办理的业务，原则上要求客户到营业网点办理。短期内不能恢复服务的，要以电话方式通知重要客户协助配合，并指导客户办理业务。/r/n第四十二条/r/n因系统升级或改造而需要有计划中止提供服务的，应提前/r/n3/r/n天在网站上予以公告。计划服务中断应选择适当的时间，尽可能减少对客户的影响。/r/n第三节重大业务差错应急处置/r/n第四十三条/r/n支行要对业务差错登记备案，记录内容应包括差错时间、差错内容、处理部门、处理人员姓名、客户资料、差错影响或损失、差错原因、处理结果等。/r/n第四十四条/r/n分支行和总行部门发现或接到客户反映出现重大业务差错，应按不同情况进行处理：/r/n（一）本行系统原因造成的业务差错，总行网络金融事业部、运营管理部配合信息科技部查明原因后，会商提出处理意见，通知分行和总行部门按本行账务差错处理的有关规定执行；客户资金已出行的，由客户的账户开户行按人行规定进行追偿或配合客/r/n户采取通知收款方协助退款等补救措施。应由本行先行垫付资金的，分行上报后，经总行网络金融事业部、风险管理部、运营管理部、计划财务部等部门审核报行长审批。分行根据总行计划财务部的要求办理垫付资金的划拨手续。/r/n（二）第三方机构系统原因造成的业务差错，总行网络金融事业部、运营管理部、信息科技部配合第三方支付机构查明原因后，会商提出书面处理意见，转发分行和总行部门按本行账务差错处理的有关规定执行。客户资金已出行的，由第三方机构负责账务差错处理；客户资金已无法追偿的，按本行与第三方机构签订的协议办理赔偿手续。/r/n第四节风险事件应急处置/r/n第四十五条风险事件的受理与报告/r/n（一）支行接到客户反映的风险事件后，应与客户沟通了解事件有关情况，请客户当面填写《网络金融业务风险事件报告》（附件/r/n2）/r/n和《客户非本人交易声明书》（附件/r/n3），/r/n并将有关情况和资料上报分行业务管理部门。如账户可能有资金“二次被盗”风险，应指导客户办理账户挂失手续，减少资金损失。/r/n（二）客户服务中心接到客户反映的电子银行风险事件后，应与客户沟通了解事件有关情况，做好客户解释安抚工作，并将有关情况上报总行网络金融事业部。如账户可能有资金“二次被盗”风险，应指导客户通过电话银行办理账户挂失手续，减少资金损失。/r/n（三）分行业务管理部门接到支行和客户服务中心有关风险事件报告后，应立即通知分行安全保卫部门，协同开展客户账户/r/n交易信息的调查取证工作。客户账户交易信息包括：账户开户资料、账户交易流水和凭证、账户疑似交易监控录像等材料。向总行报送《网络金融业务风险事件报告》和《客户非本人交易声明书》（如客户到银行反映情况，并未对银行提出相应要求的情况下，可以不提供非本人交易声明书）。/r/n（四）总行有关部门和分行在风险事件上报后，要加强对事态发展的跟踪监测，并及时向总行网络金融事业部报送后续情况。/r/n（五）总行网络金融事业部接到分行和客户服务中心有关风险事件报告后，指导和协助分行开展风险事件的前期调查和处置工作。凡风险事件属于第三方支付机构合作业务的，要立即与第三方支付机构联系确认，采取约定应急措施，防止资金“二次被盗”风险，并向第三方支付机构发起“先行赔付”流程。/r/n第四十六条风险事件的调查与处置/r/n（一）分行业务管理部门在接到