对征信合规与信息安全考核评级的实践和思考
——以徐州市为例

● 于琳娜

守住不发生信息泄露与滥用的底线，是人民银行征信战线干部职工贯彻落实党的十九大精神，保障老百姓幸福感和安全感的重要政治任务。为加强征信信息安全监管，人民银行总行建立起金融信用信息基础数据库接入机构征信合规与信息安全考核评级制度，全面细化征信信息安全监管规范，为征信监管工作提供了有力抓手。

一、徐州中支征信合规与信息安全考核评级经验做法

为落实好征信合规与信息安全考核评级制度，人民银行徐州市中心支行创新建立综合督导员制度，实施主体监管模式，以“公平、公正、严格、严肃”的考核理念，对辖内45家接入机构开展了认真细致的考核评级工作，有效揭示了辖内接入机构的征信信息安全风险状况，为下一步的征信监管工作提供量化依据。

（一）统一报送标准，确保考评材料质量

为保障考评工作的顺利进行，人行徐州中支召开征信工作会议，组织考评人员认真学习《中国人民银行关于进一步加强征信信息安全管理的通知》和《中国人民银行征信管理局关于开展2018年度金融信用信息基础数据库接入机构征信合规与信息安全考核评级的通知》，对考核评级的指标、内容和材料上报要求进行细致的梳理，制定统一的考核评级材料报送标准，然后及时向辖内45家向金融信用信息基础数据库提供或查询信息的机构传达，要求其严格按照标准上报考评材料，为下一步考评工作打好基础。

（二）全员分工督导，落实主体监管责任

为准确细致的做好考核评级工作，人行徐州中支创新建立征信信息安全综合督导制度，将45家机构平均分至科室5名同志，每人负责9家接入机构的材料审核和考核评级工作，并强调主体监管责任，综合督导员对其考评的质量负责。通过这种方式，徐州中支对每一家接入机构的征信合规与信息安全情况都实现了深入、细致的梳理，确保考核评级工作不流于形式。

（三）自评考评结合，力求全面揭示风险

在考核评级过程中，人行徐州中支对照总行考核评分标准，认真核对接入机构的自评情况和上报材料，结合征信日常监管记录、徐州市征信监管平台收集数据、两管理两综合考评等征信监管情况，对接入机构得分情况进行清单式梳理，逐项核实得分、扣分原因，扣分原因标注清楚是接入机构自评扣分还是人民银行考核扣分，力求考评能够全面揭示接入机构风险状况。

（四）复评审核，提升考评结果客观性

第一轮考评结束后，各督导员之间将考核评分结果及资料进行交叉复核，重点关注在初评中由于督导员主观原因造成的不合理扣分或者加分等情况，确保考评结果的客观性；复核结束后，全科人员将全部的考评结果进行汇总集中审核，对扣分原因再进行逐条审核，确保扣分原因和分值准确、客观，进一步提升考评结果的客观性。

二、考核评级情况

徐州辖内共有45家接入机构涉及征信考核评级，包括政策性银行1家、国有商业银行6家、股份制商业银行14家、农商行16家、村镇银行3家、财务公司1家、租赁公司1家、小贷公司2家、公积金中心1家等多类型的机构。从考评结果来看，考评结果和机构规模呈正相关关系。

（一）全国性接入机构考评等级优于地方性机构

从考评等级看，全国性接入机构因其在信息安全与技术保障方面的技术优势，征信查询系统功能（登陆控制、异常监控、操作记录）、网络通信安全的功能设置明显优于地方性接入机构。地方性接入机构受机构规模、资金实力、科技力量的制约，征信查询系统安全防范功能离考核标准有一定差距，全国性接入机构评分明显优于地方性机构。18家全国性接入机构中，94.44%的机构最终考评结果为A级，5.56%的机构为B级；27家地方性接入机构中，81.48%的机构评分为A级，18.5%的机构为B级，全国性接入机构考评等级显著优于地方性接入机构（具体情况见图1）。

（二）机构规模和考评得分呈正相关关系

从考评得分看，45家接入机构的考核评级分数在84分到98.8之间，其中评级等级为A级（90分以上）的机构占86.96%，B级（75分-89分）的机构占13.04%，且徐州地区接入机构评级分数均在84分及以上，不存在C级（60分-74分）和D级（59分及以下）的情况。按照接入机构的不同类别来看，机构规模越小，考评平均得分越低（具体情况见图2）。

三、存在问题

（一）评级资料提供标准尚待统一完善

从考核评级情况来看，被考核单位报送的考评资料，标准不统一，质量良莠不齐。考核评级文件中在“金融信用信息基础数据库接入机构征信合规与信息安全年度考核评级指标及标准”里，列明了评价项目、评价内容、计分标准这几项，尚未写明“评级要求”，注明被考核机构需要提供的详细证明资料，资料提供标准尚待统一完善。以“培训考试”这一考核项为例，有的单位提供了培训通知、签到簿、培训照片、培训课件、培训考试试题、考试成绩截图等多项资料，资料提供较为详细；有的接入机构仅提供了培训通知，这样就会导致在“培训考试”这一考核项上得分多少产生争议。考核指标资料提供标准尚待统一完善，需要一个较为细致的证明材料归纳列表。

（二）对机构自评的质量缺乏约束机制

在考核评级中，相当一部分接入机构不能严格按照考核文件和考评内容的要求，根据征信业务及内部管理实际情况开展评价，对于存在的一些问题没有严格按照考核指标进行相应扣分，如用户管理不规范、未对查询行为进行异常监测和阻断、对征信信息缺乏必要的安全保障等问题，考核评价结果与实际合规情况不符。从自评分数情况看，接入机构自评分数从95分到100分不等，自评分数明显高于人行部门的考核分数。对机构自评的质量缺乏约束机制，会导致接入机构自评质量难以保障，导致人民银行无法及时掌握接入机构的真实风险状况，造成征信信息安全风险得不到及时处理，影响后续征信监管工作的有效性。

（三）对于不同类型机构缺乏区别考核项

考核评级中发现，考核指标对于国有商业银行、股份制商业银行、农商行等地方法人金融机构和财务公司、小贷公司这些不同性质的接入机构标准是一样的，未充分考虑到以上机构在性质、实力、业务特点方面的差异性。从实际考评情况看，规模大、科技支撑强的国有大行和股份制银行征信业务内控机制较为完善、人员和用户管理培训比较到位、业务系统相对完善、信息安全和技术力量保障较为先进，评分普遍高于规模较小、实力较弱的地方性法人金融机构，不利于考核结果的客观性。

（四）考核评级结果的应用尚不充分

在考核评级结束后，依据《评级管理办法》考核计分情况，将接入机构评为A、B、C、D四个等级，并按照评分等级，对接入机构采取不同的监管措施。从目前徐州地区接入机构考核评级结果看，86.96%的接入机构考核结果为A级，其余13.04%的机构考核结果为B级，不存在C级和D级的接入机构。在基层央行考核评级中，很难接触到考核评分为C级和D级的接入机构。根据考核文件规定，对于B级的接入机构，监管措施为日常监管及责令其限期整改存在的问题，考核评级结果在基层央行的应用尚不充分，考核评级结果对监管的效能和应用有待于进一步挖掘。

四、相关建议

（一）建立规范统一的考核评级指标体系

建议从总行层面，对于考核中涉及的5个方面内容、48项二级指标进行细化整理，将每一项指标所需的证明材料列明。如“工作运转”指标考核中需要被考核机构提供召开征信工作例会的资料，则可以增加一项“征信工作例会评级要求”，列明机构所要提供的资料：如召开征信例会的通知、签到簿、会议记录、会场照片等。考核评级资料的明示，一方面使被考核单位能严肃对待考核评级工作，在日常征信合规工作开展中不走过场，做到日常征信合规工作留有痕迹；另一方面，也使人行考核部门在开展考核评级工作时有标准可依，避免因个人主观偏好而导致的考核评分差异问题。

（二）客观严肃考核责任到人

针对部分接入机构不能严格按照考核文件和考评内容，根据实际情况开展评价，导致自评分数高于实际考核分数的情况，要强化考核的严肃性，坚持考核责任到人。一是自评分数责任到人。被考核单位要将考核评分责任细化到具体经办人员，自评分数需经部门负责人审核后再报人民银行，要对评级材料的真实性负责；二是人行考核部门要落实考核分数责任到人。针对被考评机构数量较多的问题，建议按照征信督导员分工办法，结合日常监管分工，将被考核机构化整为零，人行考核部门内部员工分工合作，每个督导员对相应的被督导机构进行初评，对接入机构得分情况进行清单式梳理，逐项核实得分、扣分原因，力求考评能够全面揭示接入机构风险状况；三是对初评结果复评，对考核结果集中汇审。为降低由于督导员主观原因造成的不合理扣分或者加分，在初评结束后，应将考核评分进行交叉复核，最后所有考核人员一起对考评结果进行集中审核，保证考核结果的客观公证。

（三）科学统筹评级指标，体现不同类型机构差异化

针对被考核单位类型及业务特点的不同，建议在征信合规考核评级中，在考评指标的设置方面，能够兼顾各类机构的业务特点和性质，进行差异化考核评级。在考核评级指标及分数的设置方面，根据机构的性质规模，将标准分为三类：国有商业银行、股份制商业银行、农商行（村镇银行）等地方性法人接入机构考评指标。另外，鉴于农商行、村镇银行等地方性接入机构规模较小、业务系统功能不如国有金融机构完善的特点，建议基层央行的征信合规考核评级工作重点应向地方性接入机构倾斜。在考核评级过程中，要注重强化日常征信监管积累，结合征信日常监管记录、征信监管平台收集数据、两管理两综合考评等征信监管情况，对接入机构征信合规与信息安全考核评级开展情况进行客观考评。

（四）做好考核评级结果应用，强化对薄弱环节的监管

基层人民银行作为监管部门要进一步做好考核评级结果的应用，强化对考核中发现的接入机构征信信息风险的管理，对辖内接入机构信息风险进行问题式管理、清单式管理和流程式管理，使考核评级结果在征信监管中发挥充分的作用。

一是评级结果要公开透明。在年度考评结束后，对于辖内所有接入机构的评级结果要全部公开，将结果反馈给各家接入机构，使征信分管行领导、征信条线业务部门和工作人员知悉；二是扣分原因要细化。在考核评级中，对于接入机构的某项扣分原因要具体明细，在将考核分数反馈给接入机构的同时，一并将扣分原因明细和整改标准进行反馈，使被扣分单位整改时有标准可循；三是分类掌握辖内征信安全风险总体情况。在考评结束后，对于辖内各接入机构的扣分点，要做好归类总结，对辖内征信信息安全风险情况有一个总体的掌握，在今后的征信监管中有方向、有重点；四是对于评级中发现的评级分数较低、有安全风险隐患的接入机构，要作为今后日常督导和监管的重点，并纳入下一年度现场检查的重点对象。