银保监会发布《关于发布信息系统升级变更风险提示的通知》
中证网讯(记者程竹)8月26日,记者独家获悉,银保监会近日发布《关于发布信息系统升级变更风险提示的通知》(下称《通知》)。《通知》指出,近期,部分商业银行发生多起信息系统升级变更导致的信息科技事件,反映出这些机构在信息系统开发测试、运维管理等方面还存在风险管理不到位的突出问题。
《通知》要求,各银保监局,各政策性银行、大型银行、股份制银行、外资银行、直销银行、金融资产管理公司、金融资产投资公司、理财公司,各保险集团(控股)公司、保险公司、保险资产管理公司要加强对此类问题的管理。
《通知》对三起事件做出有关风险提示:
事件一:某商业银行开展网联支付系统数据库升级改造,将原MySQL数据库替换为Oracle数据库,在系统升级完毕正式对外提供服务后,网联支付系统出现交易成功但绑定银行账户未成功扣款的情况。待该行技术人员发现时,网联支付业务已发生差错业务9000多笔,涉及金额数百万元。
事件二:某商业银行在交警罚没款收缴系统投产变更时,计划在中间业务平台上线新系统,并同时在综合前置系统下线老系统。由于系统下线脚本存在缺漏,运维人员在新系统上线后未及时停用老系统的划款定时任务,综合前置系统与中间业务平台上的划款定时任务同时运行,导致该行代收交警罚没款专用账户重复上划代收资金100余万元。
事件三:为满足网联支付系统高并发交易场景需要,某商业银行投产核心业务系统轻量级记账接口。在投产后,核心业务系统在个别专用卡/账户类型遇特定报错后未进行账务回滚操作,相关交易成功入账,但交易流水及反馈网联支付系统交易状态为“失败”,导致该行较大金额短款。
《通知》强调,各银行保险机构要吸取上述事件的经验教训,深刻认识加强账务类信息系统开发测试与投产变更管理的重要性,以此为鉴,举一反三,认真开展风险自查,采取有效防范和应对措施,防止类似风险事件再次发生。
《通知》称,第一,加强账务类信息系统开发测试管理。要完善软件开发需求评审机制,强化需求管控,在需求阶段评估是否为涉账需求,涉及多系统间账务处理的需求要明确对账要求及监控要求,确保全流程账务信息一致。第二,完善生产运行智能监控体系,在成功率、交易时长、交易量等基本监控指标的基础上,增加报错率、清算资金等风险因素监控。