支付系统城市处理中心风险管理体系架构研究

魏汝浩

摘要：支付系统是国家金融市场重要基础设施，作为关键节点的城市处理中心，关系到区域支付体系的安全和金融稳定。“一线运维、二线风控、三线审计”的体系架构体现了全面风险管理和纵深防御的指导思想，可以为构建支付系统城市处理中心的信息科技风险管理体系提供有益参考。

关键词：支付系统 城市处理中心 三道防线

一、引言

信息技术在促进银行业务发展、推动金融创新的同时，由于技术原因造成区域性和系统性的金融风险进而带来严重的社会影响，在国内外都有不少案例。由于信息技术固有的风险，包括信息系统软硬件本身的脆弱性、数据集中导致的风险集中等，是客观存在且难以完全规避的，这意味着必须树立这样一种风险意识：我们不是要彻底杜绝安全风险，而是要管理安全风险。

目前，大多数商业银行按照信息科技管理、信息科技风险管理和信息科技风险审计等“三道防线”的设计模式建立了全面覆盖信息科技风险领域的管理框架，在有效防范信息科技风险方面发挥了重要作用。

由中央银行主导开发建设、运营维护的中国现代化支付系统承担着商业银行之间以及商业银行与人民银行之间支付业务的资金清算功能，扮演着各种清算系统的核心和枢纽的角色，作为国家重要的金融基础设施，其安全运行关系到国计民生和金融稳定。2016年，作为支付系统的开发建设、运营管理单位，中国人民银行清算总中心提出了“一线运维、二线风控、三线审计”的支付系统三道防线建设布局，人民银行各地CCPC（城市处理中心）根据总中心要求，在借鉴现有成熟的信息科技风险管理框架优势基础上，结合CCPC自身特点，对构建支付系统“三道防线”建设体系进行了充分的探索，并取得了一些成功经验。

二、信息科技风险管理理论综述

信息科技风险管理理论先后经历了以技术为驱动、以控制为导向到以风险为导向三个阶段，包括信息科技治理、企业风险管理、项目实施、内部控制和内部审计等内容。在国际上关于信息科技风险管理的著名框架有ISACA的Risk IT框架、ISACA的COMBIT框架、美国国家标准与科技协会SP800标准、国际标准组织ISO 27005体系等，不同的管理框架在风险管理的全面性和对信息科技覆盖的深度两个层面上各有不同。

巴塞尔协议将信息科技风险归属于操作风险的一部分。2009年，银监会发布《商业银行信息科技风险管理指引》，要求商业银行应制定全面的信息科技风险管理策略，实施全面的风险防范措施。“三道防线”是目前商业银行普遍采用的一种信息科技风险管理模式。第一道防线，即银行科技部门的自我管理;第二道防线，即风险管理部门如何督促科技部门进行风险管理，包括制定风险评估策略，组织开展风险评估、检查等;第三道防线，即审计部门对信息科技管理和信息科技风险管理情况进行监督、检查和评价。

国际清算银行支付结算体系委员会（CPSS）和国际证监会组织（IOSCO）制定并发布了《金融市场基础设施原则》（Principles for Financial Market Infrastures，简称PFMI）。中国人民银行和证监会分别发文并决定以该原则为标准监督管理国内金融市场基础设施。支付系统作为我国重要的金融市场基础设施，需要参照并遵循该原则，以提高安全性和合法性为基础。

三、支付系统城市处理中心（CCPC）风险分析评估

第二代现代化支付系统的架构是以人民银行NPC（国家处理中心）为顶层核心，下接各CCPC（城市处理中心）及工、农、中、建、交等业务量大的商业银行总行（又称专属接入参与者），各CCPC接入属地的商业银行总行及非银行机构（简称直接参与者）并管理属地参与者机构。交易从参与者的前端交易场景发起，经过参与者系统，按层级节点逐级上传，然后统一经过人行NPC节点，再分发给对手交易方入账。二代支付系统目前主要包括大额支付系统、小额支付系统、网上支付跨行清算系统和境内外币支付系统四个业务系统。

由于CCPC连接着属地内大多数的法人银行机构和第三方支付机构，一旦出现风险事件，造成运行中断，风险程度和影响范围将被放大，产生连锁嵌套效应，最终由单个CCPC的系统运行风险扩散为区域内整个清算体系的系统性风险。可以从“制度风险”“流动性风险”“系统运行风险”“操作风险”“应急处置风险”五个维度对CCPC可能存在的风险隐患进行分析评估。

（一）制度风险

《CCPC支付清算系统维护操作规程》等制度规定的制定、执行是否符合要求，运行维护操作、岗位职责履行的制度化、规范化能否落实到位。

（二）流动性风险

由于个别参与者清算账户头寸监测预警和调剂机制不够完善，可能出现支付系统清算账户延时清算情况，从导致资金流动性风险。

（三）系统运行风险

数据中心机房环境、供电、通讯、软硬件等出现部分故障，而双活或备份设施失效，造成运行中断。

四、支付系统CCPC三道防线体系架构

三道防线体现了全面风险管理的思想，即把风险管理的各项要求融入到企业管理和业务流程中，从操作、管理、监督三个层面对风险进行有效识别、预警、监控分析、跟踪处理、监督审计。三道防线还体现了网络安全纵深防御的思路，即不只依赖于单一安全机制，应该建立多种机制，互相支撑，以达到安全管理目标。基于全面风险管理和纵深防御的指导思想，第一道防线应加强风险源头的控制，通过加强内部管理、规范操作等减少风险的发生。第二道防线应加强对风险的管理，做好过程控制，通过应急处置等保障业务连续性。第三道防线应做好审计评价，对整个风险管理框架给出优化改进的合理化建议。支付系统CCPC“三道防线”体系基本框架如图一所示。

（一）三道防線整体责任分工

在已有的跨部门协同运维机制、风险管控机制和检查监督机制基础之上，按照“一线运维、二线风控、三线审计”的总体布局要求，进一步明确三道防线责任分工。人民银行清算中心、科技、后勤和商业银行各直接参与者组成“第一道防线”，人民银行支付结算、科技、清算中心等部门组成“第二道防线”，人民银行内审部门组成“第三道防线”。实践表明，这样分工对风险的识别预警、监控分析、跟踪处理、监督审计起到了极为有效的作用。

（二）第一道防线的协同运维机制

第一道防线属于操作层面，是整个三道防线建设的重中之重，应贯彻事前预防为主的原则，通过强化责任、健全制度、规范操作等减少风险的发生，严把风险源头的控制。

人民银行各分支行清算中心（CCPC）作为履行支付系统运行主体责任部门，要与科技、后勤等部门及各参与者建立良好的协同运维机制，明确数据中心供电、网络和机房环境等基础设施保障的责任分工，定期召开运维工作例会，实现跨部门联动和应急、值班等信息共享。以技术手段为抓手，推进运维管理智能化。逐步健全量化监控技术指标体系，实现对机房、网络、主机、系统各项运维指标的自动化监控和对故障的及时告警和精确定位，实现运维管理方式由被动式事后处理到事前主动防范风险的转变。

此外，支付系统各参与机构特别是技术人员和业务操作人员也对操作风险的防控发挥着一定作用，应重点加强安全意识培训、落实规章制度、规范操作等管理措施来防范风险。

（三）第二道防线的风险管控机制

第二道防线属于管理层面，重在协调，确保各个环节部门形成合力，进行风险的识别、分析和过程控制，实现对支付系统风险的早识别、早发现、早处置，保障业务连续性。

一是建立内部预警纠正机制。部门领导和安全主管定期进行合规性检查。二是建立风险评估长效机制。每年开展包括各直接参与者在内的支付系统风险评估，从岗位、技术、业务管理等多个维度设置评估指标，构建量化评估指标体系，并根据支付系统制度更新和业务管理需要动态调整。加强生产变更预警信息的共享、分析，及时提示风险，督促其整改到位。三是强化业务连续性保障机制。确保CCPC主中心和本地备份接入中心“双活”运行模式的有效性，定期开展主机房供电、空调、金融城域网设备、线路的切换演练，切实提高支付系统业务连续性。

（四）第三道防线的审计监督机制

第三道防线属于监督层面，着重对第一、第二道防线的工作效果进行检查，给出合理化建议，起到拾遗补漏的作用。处于风险管理体系架构的最上层，主要负责对风险管理和风险控制效果进行检查和评价，并督促相关部门进行整改，促进整个风险管理体系的良好运行和持续改进。包括内部审计、外部审计两个方面。

内部审计是指人民银行内部审计部门，对CCPC定期开展支付系统专项审计;外部审计是指引入具有权威资质的第三方机构，定期开展数据中心基础设施环境的技术检测和等级保护测评。

五、结束语

在支付系统目前的运行体制中，“第一道防线”清算、科技部门和“第三道防线”审计部门均已具备履行相关职责的软硬件条件，而“第二道防线”风险管理部门未能建立或明确职责，建议分步骤建立健全风险管理队伍。另外要充分发挥“三道防线”相互配合、相互监督、相互促进的机制，并在此基础上通過定期进行风险识别、评估，利用PDCA（计划、执行、检查、处理）模型持续改进。

参考文献：

[1]中国人民银行济南分行课题组.供给结构视角下提升支付系统业务量的路径选择[J].《金融发展研究》，2018（7）：30-36.

[2]易寿晟.PFMI框架下加强支付清算基础设施统筹监管的思考[J].《武汉金融》，2017（10）：4-8.

[3]贾伊宾.履行第三道防线职责 有效防范科技风险[J].《金融电子化》，2017（8）：26-28.

（作者供职于中国人民银行济南分行）