支付系統城市處理中心風險管理體系架構研究

魏汝浩

摘要：支付系統是國家金融市場重要基礎設施，作為關鍵節點的城市處理中心，關系到區域支付體系的安全和金融穩定。“一線運維、二線風控、三線審計”的體系架構體現了全面風險管理和縱深防御的指導思想，可以為構建支付系統城市處理中心的信息科技風險管理體系提供有益參考。

關鍵詞：支付系統 城市處理中心 三道防線

一、引言

信息技術在促進銀行業務發展、推動金融創新的同時，由于技術原因造成區域性和系統性的金融風險進而帶來嚴重的社會影響，在國內外都有不少案例。由于信息技術固有的風險，包括信息系統軟硬件本身的脆弱性、數據集中導致的風險集中等，是客觀存在且難以完全規避的，這意味著必須樹立這樣一種風險意識：我們不是要徹底杜絕安全風險，而是要管理安全風險。

目前，大多數商業銀行按照信息科技管理、信息科技風險管理和信息科技風險審計等“三道防線”的設計模式建立了全面覆蓋信息科技風險領域的管理框架，在有效防范信息科技風險方面發揮了重要作用。

由中央銀行主導開發建設、運營維護的中國現代化支付系統承擔著商業銀行之間以及商業銀行與人民銀行之間支付業務的資金清算功能，扮演著各種清算系統的核心和樞紐的角色，作為國家重要的金融基礎設施，其安全運行關系到國計民生和金融穩定。2016年，作為支付系統的開發建設、運營管理單位，中國人民銀行清算總中心提出了“一線運維、二線風控、三線審計”的支付系統三道防線建設布局，人民銀行各地CCPC（城市處理中心）根據總中心要求，在借鑒現有成熟的信息科技風險管理框架優勢基礎上，結合CCPC自身特點，對構建支付系統“三道防線”建設體系進行了充分的探索，并取得了一些成功經驗。

二、信息科技風險管理理論綜述

信息科技風險管理理論先后經歷了以技術為驅動、以控制為導向到以風險為導向三個階段，包括信息科技治理、企業風險管理、項目實施、內部控制和內部審計等內容。在國際上關于信息科技風險管理的著名框架有ISACA的Risk IT框架、ISACA的COMBIT框架、美國國家標準與科技協會SP800標準、國際標準組織ISO 27005體系等，不同的管理框架在風險管理的全面性和對信息科技覆蓋的深度兩個層面上各有不同。

巴塞爾協議將信息科技風險歸屬于操作風險的一部分。2009年，銀監會發布《商業銀行信息科技風險管理指引》，要求商業銀行應制定全面的信息科技風險管理策略，實施全面的風險防范措施?！叭婪谰€”是目前商業銀行普遍采用的一種信息科技風險管理模式。第一道防線，即銀行科技部門的自我管理;第二道防線，即風險管理部門如何督促科技部門進行風險管理，包括制定風險評估策略，組織開展風險評估、檢查等;第三道防線，即審計部門對信息科技管理和信息科技風險管理情況進行監督、檢查和評價。

國際清算銀行支付結算體系委員會（CPSS）和國際證監會組織（IOSCO）制定并發布了《金融市場基礎設施原則》（Principles for Financial Market Infrastures，簡稱PFMI）。中國人民銀行和證監會分別發文并決定以該原則為標準監督管理國內金融市場基礎設施。支付系統作為我國重要的金融市場基礎設施，需要參照并遵循該原則，以提高安全性和合法性為基礎。

三、支付系統城市處理中心（CCPC）風險分析評估

第二代現代化支付系統的架構是以人民銀行NPC（國家處理中心）為頂層核心，下接各CCPC（城市處理中心）及工、農、中、建、交等業務量大的商業銀行總行（又稱專屬接入參與者），各CCPC接入屬地的商業銀行總行及非銀行機構（簡稱直接參與者）并管理屬地參與者機構。交易從參與者的前端交易場景發起，經過參與者系統，按層級節點逐級上傳，然后統一經過人行NPC節點，再分發給對手交易方入賬。二代支付系統目前主要包括大額支付系統、小額支付系統、網上支付跨行清算系統和境內外幣支付系統四個業務系統。

由于CCPC連接著屬地內大多數的法人銀行機構和第三方支付機構，一旦出現風險事件，造成運行中斷，風險程度和影響范圍將被放大，產生連鎖嵌套效應，最終由單個CCPC的系統運行風險擴散為區域內整個清算體系的系統性風險?？梢詮摹爸贫蕊L險”“流動性風險”“系統運行風險”“操作風險”“應急處置風險”五個維度對CCPC可能存在的風險隱患進行分析評估。

（一）制度風險

《CCPC支付清算系統維護操作規程》等制度規定的制定、執行是否符合要求，運行維護操作、崗位職責履行的制度化、規范化能否落實到位。

（二）流動性風險

由于個別參與者清算賬戶頭寸監測預警和調劑機制不夠完善，可能出現支付系統清算賬戶延時清算情況，從導致資金流動性風險。

（三）系統運行風險

數據中心機房環境、供電、通訊、軟硬件等出現部分故障，而雙活或備份設施失效，造成運行中斷。

四、支付系統CCPC三道防線體系架構

三道防線體現了全面風險管理的思想，即把風險管理的各項要求融入到企業管理和業務流程中，從操作、管理、監督三個層面對風險進行有效識別、預警、監控分析、跟蹤處理、監督審計。三道防線還體現了網絡安全縱深防御的思路，即不只依賴于單一安全機制，應該建立多種機制，互相支撐，以達到安全管理目標。基于全面風險管理和縱深防御的指導思想，第一道防線應加強風險源頭的控制，通過加強內部管理、規范操作等減少風險的發生。第二道防線應加強對風險的管理，做好過程控制，通過應急處置等保障業務連續性。第三道防線應做好審計評價，對整個風險管理框架給出優化改進的合理化建議。支付系統CCPC“三道防線”體系基本框架如圖一所示。

（一）三道防線整體責任分工

在已有的跨部門協同運維機制、風險管控機制和檢查監督機制基礎之上，按照“一線運維、二線風控、三線審計”的總體布局要求，進一步明確三道防線責任分工。人民銀行清算中心、科技、后勤和商業銀行各直接參與者組成“第一道防線”，人民銀行支付結算、科技、清算中心等部門組成“第二道防線”，人民銀行內審部門組成“第三道防線”。實踐表明，這樣分工對風險的識別預警、監控分析、跟蹤處理、監督審計起到了極為有效的作用。

（二）第一道防線的協同運維機制

第一道防線屬于操作層面，是整個三道防線建設的重中之重，應貫徹事前預防為主的原則，通過強化責任、健全制度、規范操作等減少風險的發生，嚴把風險源頭的控制。

人民銀行各分支行清算中心（CCPC）作為履行支付系統運行主體責任部門，要與科技、后勤等部門及各參與者建立良好的協同運維機制，明確數據中心供電、網絡和機房環境等基礎設施保障的責任分工，定期召開運維工作例會，實現跨部門聯動和應急、值班等信息共享。以技術手段為抓手，推進運維管理智能化。逐步健全量化監控技術指標體系，實現對機房、網絡、主機、系統各項運維指標的自動化監控和對故障的及時告警和精確定位，實現運維管理方式由被動式事后處理到事前主動防范風險的轉變。

此外，支付系統各參與機構特別是技術人員和業務操作人員也對操作風險的防控發揮著一定作用，應重點加強安全意識培訓、落實規章制度、規范操作等管理措施來防范風險。

（三）第二道防線的風險管控機制

第二道防線屬于管理層面，重在協調，確保各個環節部門形成合力，進行風險的識別、分析和過程控制，實現對支付系統風險的早識別、早發現、早處置，保障業務連續性。

一是建立內部預警糾正機制。部門領導和安全主管定期進行合規性檢查。二是建立風險評估長效機制。每年開展包括各直接參與者在內的支付系統風險評估，從崗位、技術、業務管理等多個維度設置評估指標，構建量化評估指標體系，并根據支付系統制度更新和業務管理需要動態調整。加強生產變更預警信息的共享、分析，及時提示風險，督促其整改到位。三是強化業務連續性保障機制。確保CCPC主中心和本地備份接入中心“雙活”運行模式的有效性，定期開展主機房供電、空調、金融城域網設備、線路的切換演練，切實提高支付系統業務連續性。

（四）第三道防線的審計監督機制

第三道防線屬于監督層面，著重對第一、第二道防線的工作效果進行檢查，給出合理化建議，起到拾遺補漏的作用。處于風險管理體系架構的最上層，主要負責對風險管理和風險控制效果進行檢查和評價，并督促相關部門進行整改，促進整個風險管理體系的良好運行和持續改進。包括內部審計、外部審計兩個方面。

內部審計是指人民銀行內部審計部門，對CCPC定期開展支付系統專項審計;外部審計是指引入具有權威資質的第三方機構，定期開展數據中心基礎設施環境的技術檢測和等級保護測評。

五、結束語

在支付系統目前的運行體制中，“第一道防線”清算、科技部門和“第三道防線”審計部門均已具備履行相關職責的軟硬件條件，而“第二道防線”風險管理部門未能建立或明確職責，建議分步驟建立健全風險管理隊伍。另外要充分發揮“三道防線”相互配合、相互監督、相互促進的機制，并在此基礎上通過定期進行風險識別、評估，利用PDCA（計劃、執行、檢查、處理）模型持續改進。

參考文獻：

[1]中國人民銀行濟南分行課題組.供給結構視角下提升支付系統業務量的路徑選擇[J].《金融發展研究》，2018（7）：30-36.

[2]易壽晟.PFMI框架下加強支付清算基礎設施統籌監管的思考[J].《武漢金融》，2017（10）：4-8.

[3]賈伊賓.履行第三道防線職責 有效防范科技風險[J].《金融電子化》，2017（8）：26-28.

（作者供職于中國人民銀行濟南分行）