关于做好银行内控合规管理工作的浅见

内容摘要。随着全行内控案防工作的持续深化，员工异常行为排查以及“十大重点领域和关键环节”专项治理常态化，行内员工投资经商办企业、出借个人账户、有偿兼职等违规行为得到很好控制，但在模型监测和业务调研时发现员工行为管理出现一些新的风险特征，对合规建设形成一定冲击。本文就我行员工异常行为特征进行专题分析，揭示员工不当操作或违规行为潜在的风险隐患，针对性的提出管理建议，进一步强化员工异常行为风险的有效识别与管控。

一、员工异常行为类风险特征分析

（一）业务信息传输类风险

为业务交流方便，行内员工通过微信、融e联等互联网平台建立工作交流群的情况较为普及，但绝大多数员工在工作交流群发布业务数据时，缺乏基本的客户信息安全意识，在咨询业务处理过程的疑难问题时，使用手机拍摄交易界面，以最便捷直观的方式上传至微信工作群，对涉及的客户敏感信息，如姓名、账号、交易类型、交易金额、身份证号码、联系电话等内容不予遮挡或打码掩盖，照片中的客户相关信息清晰可见，群内所有成员均可浏览、复制、保存、转发、打印，客户信息过于透明公开，存在失密或泄露的可能。

（二）客户使用我行员工办公机具涉及风险

模型监测与现场检查发现，员工将行内办公机具提供给客户登录网银操作理财、基金、转账等交易的情况比较普遍，2018年1-7月，相关模型展现准风险事件36笔，涉及支行的网点低柜柜员、理财经理、客户经理、二线非业务人员的13台办公mac地址，累计交易额1938万元。银行员工基于客户主动要求或体验机故障、客流高峰排队、服务优质客户等考虑，引导客户通过行内办公设备登录网银办理业务，并避开客户输密环节由其自行操作，摘清代客操作或偷窥客密的嫌疑。经调取监控录像核查，员工为客户提供机具便利时虽不存在代客登录网银操作或保管介质等违规行为，但行内员工办公电脑存有我行内部文件或其他客户信息，潜在行内重要信息泄露的隐患。另外，支行内设部室非业务人员办公区域基本处于视频监控盲区，难于确认是否为客户本人操作，存在行内员工代客保管介质并操作的可能。

调研发现，所有被调研的员工均认为客户使用我行员工内网办公终端处理业务时无员工代办行为，既不违规也无风险，可见员工信息安全意识存有偏颇，想当然认为不窥视客密、为客户保密即为合规，完全忽视了行内重要信息的安全与保密。

（三）员工用户权限管理类风险

1、用户权限管理不到位。

网点智能服务及岗位融通模式下，柜台内外岗位间的操作限制被打通，赋予了相关岗位人员兼岗权限，操作岗、服务岗与营销岗进一步融合，而业务高峰期相关岗位的角色转换相对频繁，个别员工对用户权限管理潜在的风险认识不足，兼岗调度后存在：未签退主机即离柜、移动助手未签退即换手复核、登录移动助手后交他人代为核验或远距离核验、串用、混用统一认证号等情况，操作风险、服务风险、客户信息安全风险隐患较大，同时潜在员工违规风险。2018年上半年，省分行监测模型累计识别员工用户权限管理不到位类风险事件26笔（具体见表一），自6月版本投产“pad审核与柜面主机联动控制”功能，以及针对性运行管控，该类风险得到基本治理，7月份以来再未发现类似情况。

2、冒用他人用户权限通过外网办卡。