关于年度征信合规与信息安全管理

关于2019年度征信合规与信息安全管理
专项审计的报告
为进一步完善本行征信合规与信息安全管理,范和化解征信风险,维护信息主体合法权益,根据《征信业管理条例》、《个人信用信息基础数据库管理暂行办法》（XX人民银行今205第3号)、《XX银行关于进一步加强征信合规管理工作的通知》(银发[2018102号)等法律法规以及本行相关规章制度的规定,审计部于2020年1月对本行2019年度征信合规与信息安全管理情况进行审计。

审计过程采取审阅相关资料,访谈,抽样等必要的检查程序和方法。

现将有关检查情况报告如下
一、征信业务管理基本情况
(一)工作机制建止情况
一是本行成立了征信信思全工作导小组,领导小组由总行分管征信的行领导任组长,总行业务部门、规划部、管理信息部,信息技术部负责人为成员,负责统一领导全行征信信息安全管理工作,明确由总行风阶管理部为征信管理工作的牵头部门是建立例会工作协调机制,由总行风险管理部定期组织召开征信合规工作例会,协调各机构征信工作,有效落实有关管理要求。

三是强化责任和考核,明确总行分管行领导为第一责任人,信系统和相关系统的使用人为直接责任人,将各机构的征信合规和信息安全情况纳入其风险管理综合考评中。

四是建立自查自纠机制。

分支行按季自查，总行风险管理部不定期现场检查和非现场监测,审计
部每年组织开展专项审计,从一、二、三道防线加强对征信业务的合规管理,实行多层次、多锥度的内部监督。

(二)内控制度建设情况
本行根据《征信业管理条例》及其配套制度,对标人民银行的监管要求,制定了《征信业务管理办法》、《征信信息安全管理办法》以及应急预案等管理制度。

2019年度,根据业务管理的薄弱环节及潜在风险,本行更新了个人和企业信用报告查询授权书,辅以各类专项管理要求、操作手册等作为管理制度的补充,进一步完善客户信息收集和使用的合规性。

通过不断完善征信业务相关制度和流程,建立了较为完备的征信合规内控制度体系
(三)征信业务流程控制情况
1.用户管理
本行征信用户主要包括用户管理员、数据报送员、异议处限员、查询员其中用户管理员30人、数据报送员2人,异议处理员1人。

总行业务部门,分行和直属支行以及下辖一级支行(小企业信贷分中心)设立查询员,截至2019年12用末,全行查询员总计1700余人。

2019年度,总行风险管理部将部分征结用户管理权限下放到分支行,通过信贷类系统管理工作的下沉,缩短了分支机构内部征信用户管理流程。

2、信息查询和使用
一是本行已将征信查询由原来的直接登录人行征信查询系统查询变更为统一通过征信前置系统查询,具体分为业务系统发
起查询和前置系统查询两大类。

业务系统发起查询是业务触发式查询,前置系统查询是赋子前置系统查询员特定权限的查询方式,用于业务触发式查询尚未覆盖的场景。

全行查询用户均通过前置系统查询企业和个人信用报告。

二是征信查询坚持先授权、后查询的原则。

分支行征信管理员通过征信前置系统的后督功能核实本机构授权情况,加强对征信查询授权情况的检查和督导,确保
所有的人工发起查询均得到授权。

三是建立完善查询登记机制,通过前置系统的查询管理功能,逐条记录查询行为。

3.征信信息报送方面
一是进一步完善征信数据采集和报送管理机制,采用“分级管理、限期督办,定期考核“机制,切实落实数据报送管理责任世是规范授权报送,在向金融信用信息基础数据库报送信贷信息前,确保先与客户签订个人或企业借用告报送报权书报送个人不良信总前均通过短信等方式明确告知客户,按腰定同人行报送不良信息,三是及时、准确报送信用信息。

本行逐笔处理个人征信成馈报之信思,定期清理企业征信反顷报文信息:按要求及时开展逾期借据和可疑数据核实担保缺失数据核实,人行两端数据核对、应报未报数据核实等工作,2019年厘本行在人行定期开展的两端数据核对工作中,个人两端核对一致性高于99,)业两端核对一致性高于97%0,均合格。

4.征信异议处理
一是规范异议处理流程。

本行按照“远程银行部、分支机构
以及业务部室受理,业务部门协助核实、总行风险管理部审批、信息技术部支持”的联动机制,及时高效处理异议中请。

对客户通过联系本行分支行、致电客户服务热线发起的异议,明确由客户经理、客服坐席等人员及时反馈处理结果;客户前往人行发起征信异议的,本行按照人行要求限时处理完成。

二是妥善处理征信投诉。

2019年度本行涉及征信投诉2笔,其中已核销贷款和信用卡的征信数据问题各1笔,本行均已按规定及时核查并提交了相关材料,并及时组织进行全面清查,已完成存量数据的修正工作。

(四)信息安全与技术保障
一是强化征信前置系统的管控功能,本行通过优化征信业务相关系统登录方式合理设定异常监测阈值、系统后台自动记录用户名称,探作内容等方式,不断完善征信用户信息泄露防范、登录控制、异常监控、操作记像系统功能,严格落实网络通信安全管理规范。

二是按照人行二代征信系统建设部置,有序推进二代征信系统的建设工作。

将企业征信系统、个人征信系统、征信前置系统进针整合实现查询报送一体化。

截至2019年12月未,本行三代征信系所的查面动能品成上线,数据报送主体功能完成开发。

(五)征信合规宣传和培训
本行开展多种形式的信培训和宣传工作,不断想人合规和安全意识。

在培训方面,本行建立了总行统筹、分皮行转训、现场培训与线上培训相结合的培训管理机制。

通过在新员工入职培训、
客户经理上岗考试中加入征信相关内容,组织全体征信从业人员进行考试,开展专项培训等方式,及时有效落实各项征信管理规定2019年度组织开展了三次专项培训,培训内容涉及征信业务的新要求、征信系统等,培训对象分别为分支机构的征信管理员和系统管理员。

在宣传方面,本行于2019年3月至10月,组织开展征信专题宣传活动,6月14日开展“614信用记录关爱日”宣传活动,通过营业场所播放宣传动画片,走家入户等形式,向社会公众普及征信知识和征信基本理念。

二、审计评价
2018年监管颁布《中国人民银行关于进一步加强征信合规管理工作的通知》以来,本行对标监管新规要求,查找差距,立足于保护信主体合法权益,从信息安全管理意识和责任、征信业务操作流程、内控和同责、技防能力、应急处置等维度,持续优化管理措施和系统功能,强化信息保护工作,有推进二代征你系统的建设,总体来看,本行征信业务风险防范能力持加强,信思安全管理水平不断提高,但在授权书签署、征信查询用户管理等方面,仍需进一步完善。

三、审计发现
(一)企业征信系统机构信息维护不规范。

本行长沙地区共有17家直属支行和小企业信贷中心,而企业征信系统中创建有50家分支机构和内设部门。

存在分支机构因隶属关系变更末及时调整、分支行和内设部门撤销后未申请注销,企业征信系统信贷业
务数据重复统计的现象。

目前,本行已全面梳理机构相关情况,据实整改。

长沙地区整改材料已由总行统一报送至中国人民银行XX支行征信处,已完成企业和个人报送系统优化需求。

(二)企业征信查询用户管理不规范。

如汇融支行查询用户陈玺2019年5月14日至5月31日休假期间,他人使用该账户查询企业信用报告一笔。

上述不符合《XX股份有限公司关于印发征信相关管理办法的通知》《XX发(2018)27号)第二十条“用户实行人户统一、专人专用的原则,向监管部门报批同意的除外”的规定,本行风险管理部已于2019年11月25日再次下发(关于下放征位用户管理部分权限的通知》,明确规定“本行所有征信用户进行信业务处理时,应确保使用各自的账户进行征信业务处理,严禁将征信用户出借给他人使用。

”
(三)个别权书鉴著不规范。

如汇料支行2019年3月2日“湖南金思推教育装备有限公司”的企业征信。

客户签署的《命信用作查权书》来填写投权日期上述不符合《XX股份有限公关印发信相关管理办法的通知》(XX发(2018)27号)第二十二条“查询授权书应明确查询原因、授权期限、查询用途、授权日期等内容,授权书的填写应真实、规范、完整”的规定。

(四)企业信贤数据报送不合规。

如XX分行客户经理在信贷系统中录入银票授信客户XX精制科技有限公司的基本信息时,将其中征码(430211000443误录为XX装备科技有限公司的中征码(430203000530),导致漏报XX科技有限公司94笔银票数据。

上述不符合《XX股份有限公司关于印发征信相关管理办法的通知》(XX发(2018)227号)第二十六条“负责业务办理的总行业务部门和各分支机构应及时、完整地在相关业务系统内登记与征信报送信息采集有关的要素、数据“的规定。

四、审计建议
(一)规范征信操作流程,确保合规查询
针对征信检查发现的征信查询授权书要素不完整、使用不规范等问题。

一是要规范征信查询操作流程,在查询客户信用报告前,必须先取得客户书面授权,确保授权书基本要素完整、有效,严禁未通过授权或不按约定用途查询客户信用信息,杜绝未经投权查询或非法向第三方提供个人征信信息的行为,二是要合理使用个人或企业信用报告,严格按照与信息主体的约定用途使用个人征信信息,不得用作约定之外的用途。

（二)强化征信用户管理,如大培训力度
一是按照《金融信用信息基础数据库用户管理规范》的要求,严格办理征信系统用户的创建、停用和启用等。

严格用户权限设置,将用户权限控制在业务需要的最小范围内。

加强对用户密码的管控,杜绝用户公用现象,切实做到人户统一、专人专用,对于不合规使用的用户应及时予以停用。

二是要定期对征信用户开展征信业务培训和信息安全教育,通过以案释规,以案为戒的方式,使其了解征信业务中的各类风险点,掌握征信业务制度规定和操作流程。

三是落实“全员合规教育轮训”的监管要求,开展多种
形式的培训活动,及时传达各项征信管理规定。

(三)推进征信系统建设,加强系统支撑
一是在二代征信系统启用前,针对征信检查发现的系统问题,有序推进对现有的征信管理系统的改造工作,落实“一代的问题一代解决”二是有序推进二代征信系统的建设,提高技防能力,推进实现信用报告脱敏展示、结构化展示和自动解读,从严管理信用信息数据,严格按照查询量配置人行征信帐号,完善登录控制和操作全记录,降低征信信息泄露风险。

(四)严格督促落实整改,提什管理水平
2019年中国人民银行XX支行对本行征信安全和合规管理进行了全面检查总行风险管理部作为征信管理工作的牵头部门,对检查发现的问题,应建立整改跟踪机制，及时掌握整改情况，督促整改。

对暂时未整改到位问题要明确整改时间、整改步骤以及整改目标，推动问题整改到位。

XX银行股份有限公司
2020年1月17日。