服务热线:400-0531-480(9:00~18:00)
签到
在线客服
计算收益
签到成功

丁丁金服_【官方网站】 _网惠天下_贷动中国 丁丁金服2017年2月份运营报告积分抽奖_【官方网站】 _网惠天下_贷动中国
您当前的位置: 首页 > 帮助中心
投标类
充值/提现类
债权转让类
风险防范教育专栏

网贷常识

P2P网贷知识普及手册
1.什么是P2P网络借贷?    
答:个体和个体之间通过互联网平台实现的直接借贷。个体包含自然人、法人及其他组织。网络借贷信息中介机构是指依法设立,专门从事网络借贷信息中介业务活动的金融信息中介企业。该类机构以互联网为主要渠道,为借款人与出借人(即贷款人)实现直接借贷提供信息搜集、信息公布、资信评估、信息交互、借贷撮合等服务。 
2.P2P网络借贷应遵守的原则是什么?
答:网络借贷信息中介机构按照依法、诚信、自愿、公平的原则为借款人和出借人提供信息服务,维护出借人与借款人合法权益,不得提供增信服务,不得设立资金池,不得非法集资,不得损害国家利益和社会公共利益。    
借款人与出借人遵循“借贷自愿、诚实守信、责任自负、风险自担”的原则承担借贷风险。网络借贷信息中介机构承担客观、真实、全面、及时进行信息披露的责任,不承担借贷违约风险。    
3.P2P网络借贷机构的名称一般叫什么?    
答:开展网络借贷信息中介业务的机构,其机构名称中应当包含“网络借贷信息中介”字样,法律、行政法规另有规定的除外。   
4.P2P网络借贷有哪些禁止的行为?    
答:网络借贷信息中介机构不得从事或者接受委托从事下列活动:  
(一)利用本机构互联网平台为自身或具有关联关系的借款人融资;  
(二)直接或间接接受、归集出借人的资金;   
(三)向出借人提供担保或者承诺保本保息;   
(四)向非实名制注册用户宣传或推介融资项目;  
(五)发放贷款,法律法规另有规定的除外;  
(六)将融资项目的期限进行拆分;    
(七)发售银行理财、券商资管、基金、保险或信托产品;    
(八)除法律法规和网络借贷有关监管规定允许外,与其他机构投资、代理销售、推介、经纪等业务进行任何形式的混合、捆绑、代理;  
(九)故意虚构、夸大融资项目的真实性、收益前景,隐瞒融资项目的瑕疵及风险,以歧义性语言或其他欺骗性手段等进行虚假片面宣传或促销等,捏造、散布虚假信息或不完整信息损害他人商业信誉,误导出借人或借款人;  
(十)向借款用途为投资股票市场的融资提供信息中介服务;  
(十一)从事股权众筹、实物众筹等业务;   
(十二)法律法规、网络借贷有关监管规定禁止的其他活动。  
5.在P2P网络借贷的网站注册时需要实名吗?   
答:参与网络借贷的出借人与借款人应当为网络借贷信息中介机构核实的实名注册用户。   
6. 对参与网络借贷的借款人都有哪些要求?   
答:借款人应当履行下列义务:   
(一)提供真实、准确、完整的用户信息及融资信息;  
(二)保证融资项目真实、合法,并按照约定用途使用借贷资金,不得用于出借等其他目的;    
(三)按约定向出借人如实报告影响或可能影响出借人权益的重大信息; 
(四)借贷合同及有关协议约定的其他义务。
7.对参与网络借贷的出借人都有哪些要求?  
答:参与网络借贷的出借人应当履行下列义务:  
(一)向网络借贷信息中介机构提供真实、准确、完整的身份等信息;
(二)出借资金为来源合法的自有资金;  
(三)了解融资项目信贷风险,确认具有相应的风险认知和承受能力;  
(四)自行承担借贷产生的本息损失;   
(五)借贷合同及有关协议约定的其他义务。 
8.P2P网络借贷机构可以开展线下业务吗?    
答:不可以,除信用信息采集、核实、贷后跟踪、抵质押管理等风险管理及网络借贷有关监管规定明确的部分必要经营环节外,网络借贷信息中介机构不得在互联网、固定电话、移动电话及其他电子渠道以外的物理场所开展业务。
9. 对于P2P网络借贷机构的信息安全有什么要求?  
答:网络借贷信息中介机构应按照国家网络安全相关规定和国家信息安全等级保护制度的要求,开展信息系统定级备案和等级测试,具有完善的防火墙、入侵检测、数据加密以及灾难恢复等网络安全设施和管理制度,建立信息科技管理、科技风险管理和科技审计有关制度,配置充足的资源,采取完善的管理控制措施和技术手段保障信息系统安全稳健运行,保护出借人与借款人的信息安全。   
网络借贷信息中介机构应当记录并留存借贷双方上网日志信息,信息交互内容等数据,留存期限为5年;每两年至少开展一次全面的安全评估,接受国家或行业主管部门的信息安全检查和审计。    
网络借贷信息中介机构成立两年内,应当建立或使用与其业务规模相匹配的应用级灾备系统设施。   
10. P2P网络借贷机构可以直接从借款人支付的利息或本金中扣除费用吗?   
答:借款人支付的本金和利息应当归出借人所有。网络借贷信息中介机构应当与出借人、借款人另行约定费用标准和支付方式。   
11.P2P网络借贷机构需要报送征信信息吗?   
答:需要,网络借贷信息中介机构应当加强与金融信用信息基础数据库运行机构、征信机构等的业务合作,依法报送、查询和使用有关金融信用信息。 
12. P2P网络借贷机构可以代出借人或借款人做出相关决策吗? 
答:不可以,网络借贷信息中介机构不得以任何形式代出借人行使决策。每一融资项目的出借决策均应当由出借人作出并确认。   
13. 对于P2P网络借贷机构开展业务时风险控制方面有什么基本要求? 
答:网络借贷金额应当以小额为主。网络借贷信息中介机构应当根据本机构风险管理能力,控制同一借款人在本机构的单笔借款上限和借款余额上限,防范信贷集中风险。  
14. 对于P2P网络借贷机构的档案管理有什么要求? 
答:网络借贷信息中介机构应当采取适当的方法和技术,记录并妥善保存网络借贷业务活动数据和资料,做好数据备份。保存期限应当符合法律法规及网络借贷有关监管规定的要求。借贷合同到期后应当至少保存5年。   
15. P2P网络借贷机构如果停业,那么之前已成立的借贷关系受影响吗? 
答:网络借贷信息中介机构暂停、终止业务时应当至少提前5个工作日通过官方网站等有效渠道向出借人与借款人公告。网络借贷信息中介机构业务暂停或者终止,不影响已经签订的借贷合同当事人有关权利义务。    
网络借贷信息中介机构因解散、被依法撤销或宣告破产而终止的,应当在解散、被撤销或破产前,妥善处理已撮合存续的借贷业务,清算事宜按照有关法律法规的规定办理。
16.如果P2P网络借贷机构破产,出借人与借款人的资金受影响吗?   
答:网络借贷信息中介机构清算时,出借人与借款人的资金分别属于出借人与借款人,不列入清算财产。    
17.P2P网络借贷机构有义务揭示风险吗?   
答:网络借贷信息中介机构应当向出借人以醒目方式提示网络借贷风险和禁止性行为,并经出借人确认。    
网络借贷信息中介机构应当对出借人的年龄、健康状况、财务状况、投资经验、风险偏好、风险承受能力等进行尽职评估,不得向未进行风险评估的出借人提供交易服务。  
网络借贷信息中介机构应当根据风险评估结果对出借人实行分级管理,设置可动态调整的出借限额和出借标的限制。    
18.在开展业务时,P2P网络借贷机构怎么保护客户的个人隐私? 
答:网络借贷信息中介机构应当加强出借人与借款人信息管理,确保出借人与借款人信息采集、处理及使用的合法性和安全性。   
网络借贷信息中介机构及其资金存管机构、其他各类外包服务机构等应当为业务开展过程中收集的出借人与借款人信息保密,未经出借人与借款人同意,不得将出借人与借款人提供的信息用于所提供服务之外的目的。 
在中国境内收集的出借人与借款人信息的储存、处理和分析应在当中国境内进行。除法律法规另有规定外,网络借贷信息中介机构不得向境外提供境内出借人和借款人信息。  
19. P2P网络借贷机构自有资金与客户的资金需要隔离吗?应存放在哪些机构?
答:网络借贷信息中介机构应当实行自身资金与出借人和借款人资金的隔离管理,选择符合条件的银行业金融机构作为出借人与借款人的资金存管机构。    
20.如果客户之间或机构与客户出现利益纠纷,有什么解决问题的途径?  
答:出借人与网络借贷信息中介机构之间、出借人与借款人之间、借款人与网络借贷信息中介机构之间等纠纷,可以通过以下途径解决:  
(一)自行和解;   
(二)请求行业自律组织调解; 
(三)向仲裁部门申请仲裁; 
(四)向人民法院提起诉讼。   
21.P2P网络借贷机构应当在其网站上向出借人披露哪些信息?   
答:网络借贷信息中介机构应当在其官方网站上向出借人充分披露以下信息: 
(一)借款人基本信息,包括但不限于年收入、主要财产、主要债务、信用报告;  
(二)融资项目基本信息,包括但不限于项目名称、类型、主要内容、地理位置、审批文件、还款来源、借款用途、借款金额、借款期限、还款方式及利率、信用评级或者信用评分、担保情况;   
(三)风险评估及可能产生的风险结果;   
(四)已撮合未到期融资项目有关信息,包括但不限于融资资金运用情况、借款人经营状况及财务状况、借款人还款能力变化情况等。    
22.P2P网络借贷机构需要在其网站披露业务开展情况吗?  
答:需要,网络借贷信息中介机构应当实时在其官方网站显著位置披露本机构所撮合借贷项目交易金额、交易笔数、借贷余额、最大单户借款余额占比、最大10户借款余额占比、借款逾期金额、代偿金额、借贷逾期率、借贷坏账率、出借人数量、借款人数量、客户投诉情况等经营管理信息。   
网络借贷信息中介机构应当在其官方网站上建立业务活动经营管理信息披露专栏,定期以公告形式向公众披露年度报告、法律法规、网络借贷有关监管规定及工商登记注册地省级网络借贷行业自律组织要求披露的其他信息,内容包括但不限于机构治理结构、董事、监事、高级管理人员及管理团队情况、经会计师事务所审计的财务会计报告、风险管理状况、实收资本及运用情况、业务经营情况、与资金存管机构及增信机构合作情况等。
网络借贷信息中介机构应当聘请会计师事务所定期对本机构出借人与借款人资金存管、信息披露情况、信息科技基础设施安全、经营合规性等重点环节实施审计,并且应当聘请有资质的信息安全测评认证机构定期对信息安全实施测评认证,向出借人与借款人、工商登记注册地省级网络借贷行业自律组织等披露审计和测评认证结果。  
网络借贷信息中介机构应当将定期信息披露公告文稿和相关备查文件报送工商登记注册地地方金融监管部门,并置备于机构住所供社会公众查阅。  
23. P2P网络借贷机构在业务开展过程中,资金存管机构承担什么职责? 
答:借款人、出借人、网络借贷信息中介机构、资金存管机构、担保人等应当签订资金存管协议,明确各自权利义务和违约责任。   
资金存管机构对出借人与借款人开立和使用资金账户进行管理和监督,并根据合同约定,依照出借人与借款人向网络借贷信息中介机构发出的指令,对出借人与借款人的资金进行存管、划付、核算和监督。  
资金存管机构承担实名开户和履行合同约定及借贷交易指令表面一致性的形式审核责任,但不承担融资项目及借贷交易信息真实性的实质审核责任。  
资金存管方应当按照网络借贷有关监管规定报送数据信息并依法接受相关监督管理。   
24.P2P网络借贷机构在出现哪些重大风险时需要及时向监管部门报送相关信息?  
答:网络借贷信息中介机构应当在下列重大事件发生后,立即采取应急措施并向地方金融监管部门报告: 
(一)因经营不善等原因出现重大经营风险;  
(二)网络借贷信息中介机构或其董事、监事、高级管理人员发生重大违法违规行为;  
(三)因商业欺诈行为被起诉,包括违规担保、夸大宣传、虚构隐瞒事实、发布虚假信息、签订虚假合同、错误处置资金等行为。   
地方金融监管部门应当建立网络借贷行业重大事件的发现、报告和处置制度,制定处置预案,及时、有效地协调处置有关重大事件。   
地方金融监管部门应当及时将本辖区网络借贷信息中介机构重大风险及处置情况信息报送省级人民政府、国务院银行业监督管理机构和中国人民银行。  
25. P2P网络借贷机构需要在规定时间报送审计报告吗?  
答:网络借贷信息中介机构应当聘请有资质的会计师事务所进行年度审计,并在上一会计年度结束之日起4个月内向地方金融监管部门报送年度审计报告。
操作风险识别与评估操作规程
一、目的和范围
为实现山东丁丁金融信息咨询服务有限公司(下称“丁丁金服”)操作风险的科学识别和有效评估,满足外部监管和内部控制要求,根据《网络借贷信息中介机构业务活动管理暂行办法》要求,对本公司操作风险进行规范管理,编写本文件。本文件适用于本公司各部门及分支机构。  
二、定义、缩写和分类  
1、风险事件分类,是指操作风险损失事件分类; 
2、操作风险事件分为: 
a) 内部欺诈; 
b) 外部欺诈;
c) 雇佣关系; 
d) 客户关系、产品及业务操作;
e) 对物理资产的损害;
f) 业务中断及系统失灵;
g) 实施及流程管理。  
三、职责与权限  
1、风险管理委员会  
(1)负责制定全司的操作风险管理战略和总体政策; 
(2)负责确保全司的操作风险管理体系的有效性;  
(3)负责确保全司操作风险管理体系接受内审部门的有效审查与监督; 
(4)负责审定与操作风险管理相关的其他重大事项。  
2、风控部  
(1)负责全司操作风险管理政策拟定和体系建设;
(2)负责协助各部门建立操作风险管理体系;  
(3)负责研究、开发和维护操作风险度量、分析和报告的方法、模型和工具。 
3、法务部  
(1)负责确定全司操作风险管理的具体程序和操作规程; 
(2)负责组织实施操作风险识别、评估、缓释、监测和报告; 
(3)负责检查、分析全司操作风险管理情况; 
(4)负责组织全司操作风险管理方面的培训; 
(5)负责就全司操作风险管理事务与监管机构联络。
4、操作风险管理岗位 
(1) 负责本部门、分支机构的操作风险关键风险点梳理和识别;
(2) 负责向公司法务部、风控部报告重大操作风险事件;
(3) 负责本部门、分支机构的操作风险报告起草。 
5、不相容岗位  
各部门、分支机构操作风险专职管理人员不得从事本部门、机构关键操作风险点相关工作。  
四、基本规定  
1、完善有效的内部控制体系是网贷机构操作风险管理的基础,操作风险识别与评估管理要覆盖所有的部门、岗位,全司员工都必须参与其中。 
2、操作风险损失形态定义如下:  
a)法律成本。因平台发生操作风险事件引发法律诉讼或仲裁,在诉讼或仲裁过程中依法支出的诉讼费用、仲裁费用及其他法律成本。如违反知识产权保护规定等导致的诉讼费、外聘律师代理费、评估费、鉴定费等。 
b) 监管罚没。因操作风险事件所遭受的监管部门或有权机关罚款及其他处罚。如违反行业政策、监管法规等所遭受的罚款、吊销执照等。 
c) 资产损失。由于疏忽、事故或自然灾害等事件造成实物资产的直接毁坏和价值的减少。如火灾、洪水、地震等自然灾害所导致的账面价值减少等。 
d) 对外赔偿。由于内部操作风险事件,导致未能履行应承担的责任造成对外的赔偿。如因平台自身业务中断、交割延误、内部案件造成客户资金或资产等损失的赔偿金额。 
e) 追索失败。由于工作失误、失职或内部事件,使原本能够追偿但最终无法追偿所导致的损失,或因有关方不履行相应义务导致追索失败所造成的损失。如资金划转错误、相关文件要素缺失、跟踪监测不及时所带来的损失等。
f) 账面减值。由于偷盗、欺诈、未经授权活动等操作风险事件所导致的资产账面价值直接减少。如内部欺诈导致的销账、外部欺诈和偷盗导致的账面资产/收入损失,以及未经授权或超授权交易导致的账面损失等。 
g) 其他损失。由于操作风险事件引起的其他损失。

五、操作流程  

操作风险识别与评估流程包括:风险点梳理、制定控制措施、组织落实、风险损失统计、制定并落实整改措施等活动过程。

六、检查监督 

公司稽核部对各部门开展操作风险控制自评的过程以及执行风险控制方案的情况进行检查与监督。  
七、规章制度索引  
《关于促进互联网金融健康发展的指导意见》、《网络借贷信息中介机构业务活动管理暂行办法》 、《网络借贷资金存管业务指引》等。
反洗钱和反恐怖融资内部控制管理办法
第一章  总则
第一条  为了预防反洗钱和反恐怖融资活动,规范反洗钱和反恐怖融资工作,根据《中华人民共和国反洗钱法》、《网络借贷信息中介机构业务活动管理暂行办法》等法律法规,结合公司的实际情况,制定本办法。
第二条  本办法所称反洗钱,是指为了预防通过各种方式掩饰、隐瞒毒品犯罪、黑社会性质的组织犯罪、恐怖活动犯罪、走私犯罪、贪污贿赂犯罪、破坏金融管理秩序犯罪、金融诈骗犯罪等犯罪所得及其收益的来源和性质的洗钱活动,依照相关法律、行政法规等规定采取相关措施的行为。
第三条  本办法所称的恐怖融资是指恐怖组织、恐怖分子募集、占有、使用资金或者其他形式财产;以资金或者其他形式财产协助恐怖组织、恐怖分子以及恐怖主义、恐怖活动犯罪;为恐怖主义和实施恐怖活动犯罪占有、使用以及募集资金或者其他形式财产;为恐怖组织、恐怖分子占有、使用以及募集资金或者其他形式财产。
第四条  反洗钱和反恐怖融资工作方针
1.合法审慎方针。所有涉及反洗钱和反恐怖融资的部门或岗位都应当依法并且审慎地识别洗钱和恐怖融资等交易,做到有疑必报,报必详尽,认真履行反洗钱和反恐怖融资义务。
2.保密方针。涉及反洗钱和反恐怖融资各部门及岗位应当保守反洗钱和反恐怖融资工作秘密,不得违反规定将有关反洗钱和反恐怖融资工作信息泄露或不当暗示给客户或其他不相关人员。
3.与司法机关和行政执法机关全面合作方针。应当积极配合中国人民银行以及分支机构依法进行的反洗钱和反恐怖融资调查,依法协助司法机关打击洗钱和恐怖融资活动。
第二章  反洗钱和反恐怖融资的组织管理
第五条  根据公司反洗钱和反恐怖融资管理目标,成立反洗钱领导小组及反洗钱办公室,反洗钱领导小组组长由公司风控官担任,负责反洗钱和反恐怖融资管理工作,领导小组成员部门包括风控部、财务部、法务部及各业务部门,各成员部门负责人为小组的组成人员,并应指定本部门一名员工具体负责。反洗钱办公室直接向反洗钱主管领导负责,负责反洗钱和反恐怖融资的日常管理工作。
第六条  确定风控部负责公司反洗钱和反恐怖融资的合规管理工作,对反洗钱和反恐怖融资工作进行监督、检查、协调。财务部、法务部及各业务部门为反洗钱和反恐怖融资责任部门。并在相关部门设立反洗钱和反恐怖融资的监督岗,负责对异常交易的分析、审核和判断。
第七条  规定反洗钱领导小组、反洗钱办公室、法务部、其他相关职能部门及各相关岗位的职责,形成所有的层次、部门和岗位,各司其职、各负其责,齐抓共管反洗钱和反恐怖融资工作的组织管理体系。
(1)交易处理系统包括交易控制检查模块,对被列入黑名单中的交易对象的交易或超过限额的交易进行控制。
(2)系统支持对黑名单交易限额的修改。
第八条  反洗钱领导小组职责
(1)审议批准公司的反洗钱和反恐怖融资办法,并监督办法的有效实施。
(2)对公司反洗钱和反恐怖融资办法的有效性和健全性做出评价,以使反洗钱和反恐怖融资缺陷得到及时有效的解决。
(3)对公司反洗钱和反恐怖融资风险进行监督管理。
(4)审议批准法务部提交的反洗钱和反恐怖融资报告和总结。
(5)审核反洗钱和反恐怖融资信息资料的统计与上报。
(6)依法履行客户身份识别、可疑交易报告、客户身份资料和交易记录保存等反洗钱和反恐怖融资义务。
第九条  风控部反洗钱和反恐怖融资职责
(1)统一监督、协调公司的反洗钱和反恐怖融资工作。
(2)监督落实监管部门有关反洗钱和反恐怖融资法规政策在公司的执行。
(3)研究和制定公司反洗钱和反恐怖融资工作规划,制定反洗钱和反恐怖融资工作办法。
(4)研究反洗钱和反恐怖融资工作中出现的疑难问题,提出解决方案与对策。
(5)监督反洗钱和反恐怖融资各部门及岗位的工作完成情况。
(6)落实公司反洗钱和反恐怖融资工作计划,协调对外工作交流。
(7)审核公司向上级主管部门上报的反洗钱和反恐怖融资信息资料。
(8)负责组织对员工进行反洗钱和反恐怖融资的培训。
(9)其他应履行的反洗钱和反恐怖融资职责。
第十条  财务部反洗钱和反恐怖融资职责
(1)熟悉掌握签约客户的资格条件、信息的真实性、融资项目的真实性、合法性等状况。
(2)负责对异常交易进行分析、审核和判断,发现问题,及时报告。
(3)注意观察、了解客户资金的动向,发现可疑交易,随时向反洗钱领导小组报告。
(4)特别关注大额资金交易,化整为零的资金交易等情况,一经发现,应立即按公司相关规定随时上报。
(5)其他应履行的反洗钱和反恐怖融资职责。
第十一条  各业务部门反洗钱和反恐怖融资职责
(1)负责客户有效身份证件或有效身份证明文件等信息资料的审核与登记。
(2)负责客户企业法人营业执照、税务登记证、机构代码等信息资料的审核与登记。
(3)负责留存保管客户有效身份证件或有效身份证明文件的复印件或者影印件等相关资料。
(4)有效利用公司交易平台,收集、筛选可能预示潜在反洗钱和反恐怖融资问题的数据,及时向反洗钱领导小组汇报任何可疑交易情况。
(5)负责向上级主管部门报送反洗钱和反恐怖融资信息资料的整理、加工与上报。
(6)作为反洗钱和反恐怖融资联络部门与上级监管部门保持紧密联系,随时汇报相关情况。
(7)其他应履行的反洗钱和反恐怖融资职责。
第三章  客户身份识别和资料保存措施
第十三条  遵循““以人为本,客户至上,合规借贷,严控风险”的经营理念,以“诚信、安全、透明、公开、高效、创新”为经营准则,在相关业务中,勤勉尽责,建立健全并严格执行客户身份识别制度。
第十四条  针对具有不同洗钱或者恐怖融资风险特征的客户、业务关系或者交易,采取深入实际调查、访问、调阅相关资料等相应措施,了解客户及其交易目的和交易性质,了解实际控制客户的自然人及其交易情况。
第十五条  在与客户建立相关业务关系时,应遵守并严格执行实名制,切实做好客户尽职调查工作,取得来源可靠的资料信息,充分了解其业务经营状况。
第十六条  对于利用自身业务处理系统与公司业务处理系统对接方式进行网上支付的客户,在与其建立业务关系时,必须取得来源可靠的资料信息,充分了解其经营活动状况。
第十七条  建立客户风险等级管理制度,按照客户的特点,并考虑地域、业务、行业及客户年龄、健康状况、财务状况、投资经验、风险偏好、风险承受能力等因素,划分客户的风险等级,加强对高风险客户的管理。
第十八条  在与客户建立业务关系时,在签订的合同或协议中,应有提醒客户及时更新身份信息的条款,适时提醒客户及时更新身份信息。凡是客户已经提交的身份证件或身份证明文件已过有效期,但没有在合理期限内更新且没有提出合理理由的,应中止为其办理业务。
第十九条  应当采取适当的方法和技术,记录并妥善保存网络借贷业务活动数据和资料,做好数据备份。应当保障数据的真实性、完整性及电子签名、电子认证的法律效力。保存期限应当符合法律法规及网络借贷有关监管规定的要求。借贷合同到期后应当至少保存5年。第二十条  应通过合理手段审核对公客户的有效身份证件或有效身份证明文件;登记客户的“身份基本信息”,包括客户的名称、住所、经营范围;可证明该客户依法设立或者可依法经营、开展社会活动的执照、证件、文件的名称、号码。妥善保管客户的资料和交易信息,不得删除、篡改,不得非法买卖、泄露客户的基本信息和交易信息。
第四章  可疑交易报告
第二十一条  各岗位在涉及资金交易过程中发现或者有合理理由怀疑交易或交易主体涉嫌洗钱、恐怖融资等犯罪活动的,应在交易发生后的10个工作日内向公司反洗钱领导小组报告,经领导小组批准同意后向发生可疑交易的客户发出预警通知,提示客户依法提交可疑交易报告进行说明。
第二十二条  客户经核实后认为不存在洗钱或恐怖融资风险的,应要求其在收到预警通知后的10个工作日内,向公司提交情况说明。如果公司反洗钱领导小组认为客户所述理由不足以解除疑点的,应在收到情况说明日起尽快向上级主管部门提交可疑交易报告。
第二十三条  除第二十一条、二十二条规定的情形外,如果各岗位有合理理由怀疑交易或交易主体涉嫌洗钱、恐怖融资等活动的,应立即向公司反洗钱领导小组报告,反洗钱领导小组应尽快向相关部门提交可疑交易报告。
第二十四条  各反洗钱和反恐怖融资岗位应在勤勉尽责的基础上,对异常交易进行分析、审核和判断。如果确定(或者不能排除)交易与洗钱、恐怖融资等违法犯罪活动相关,或者不能排除交易涉嫌洗钱、恐怖融资等违法犯罪活动的,应在交易发生的6个工作日内,向公司反洗钱领导小组反映情况,反洗钱领导小组在收到情况反映的4个工作日内向相关部门提交可疑交易报告。如果某一交易客观上具有异常交易特征,但反洗钱领导小组有合理理由排除疑点,或者没有理由怀疑该交易或客户涉及违法犯罪活动,则不能将这些交易作为可疑交易报告的内容。
第二十五条  各部门及各岗位应提供真实、完整、准确的交易信息。如果提
交的可疑交易报告经监管部门发现有要素不全或者存在错误的,应在接到补正通知的5个工作日内补正后重新报出。
第五章  客户身份资料和交易记录保存
第二十六条  各部门及各相关岗位应当按照安全、准确、完整、保密的原则,妥善保管客户身份资料和交易记录,确保能足以重视每项交易,以提供识别客户身份、监测分析交易情况、调查可疑交易活动和查处洗钱案件所需要的信息。
第二十七条  应当按照下列期限保存客户身份资料和交易记录:
1.客户身份资料,自业务关系结束当年或者一次性交易记账当年计起至少保存5年。
2.交易记录,自交易记账当年计起至少保存5年。
第二十八条  如果客户身份资料和交易记录涉及正在被反洗钱和反恐怖融资调查的可疑交易活动,且反洗钱和反恐怖融资调查工作在前款规定的最低保存期届满时仍未结束的,应将其保存至反洗钱和反恐怖融资调查工作结束。
第二十九条  同一介质上有不同保存期限的客户身份资料或者交易记录的,应当按最长期限保存。同一客户身份资料或者交易记录采用不同介质保存的,至少应当按照上述期限要求保存一种介质的客户身份资料或者交易记录。
第三十条  法律、行政法规和规章对客户身份资料和交易记录有更长保存期限要求的,遵守其规定。
第三十一条  应采取备份管理、异地保存和信息系统控制等,防止客户身份资料和交易记录的缺失、损毁,防止泄露客户身份信息和交易信息。
第三十二条  应采取纸质和电子文档等方式保存客户身份资料和交易记录,便于反洗钱和反恐怖融资调查和监督管理。
第六章  反洗钱和反恐怖融资的监督
第三十三条  稽核部门负责对公司反洗钱工作进行审计。审计工作可以由公司内部组织相关部门与人员自行进行审计,也可以聘请外部组织进行委托审计。公司应每年进行一次反洗钱审计工作,也可以根据情况随时进行审计调查。
第三十四条  审计应重点对公司反洗钱的制度建设情况,反洗钱制度的执行情况,公司反洗钱组织管理架构建设,内部合规部门、反洗钱办公室、反洗钱各岗位履行反洗钱职责情况等进行审计。
第三十五条  对公司存在的反洗钱工作中存在的问题,并落实责任人,要提出整改意见和建议,并监督其落实整改措施的情况,实施跟踪反馈,全程监督制约。
第七章  反洗钱培训措施
第三十六条  积极开展反洗钱宣传与培训工作,为反洗钱工作营造良好的氛围。以多样化的形式和手段,让公司员工了解反洗钱的特点、国家反洗钱政策和打击反洗钱活动的成果。
第三十七条  每年应对管理层和相关工作人员进行反洗钱和反恐怖融资进行三次培训。培训应重点结合公司存在的反洗钱工作特点与案例,充分考虑各部门及各岗位反洗钱职责,有针对性地进行培训与辅导。确保反洗钱专职或兼职人员都能够接受反洗钱知识培训。
第三十八条  每年应指派相关反洗钱岗位的员工参加中国人民银行、大专院校或相关部门组织的反洗钱培训,深入理解掌握反洗钱知识,着力提高反洗钱工作人员对可疑交易的分析能力,提高反洗钱工作质量。
第三十九条  组织人员编写反洗钱宣传材料,汇集有关反洗钱案例,发送至每个员工,及时掌握反洗钱基础知识,随时了解反洗钱动态及反洗钱形势,提高员工反洗钱意识及职业敏感度,促进反洗钱工作的有效开展。
第八章  协助反洗钱和反恐怖融资调查的内部程序
第四十条  中国人民银行实施反洗钱和反恐怖融资调查时,各部门及工作人员应当予以积极配合,如实提供有关文件和资料,不得拒绝或者阻碍。
第四十一条  指定反洗钱办公室为人民银行反洗钱和反恐怖融资主管部门的联系部门。
第四十二条  为了更好地协助反洗钱和反恐怖融资调查,公司应指派一名相关人员作为联络人,全程配合人民银行做好反洗钱和反恐怖融资调查期间的沟通、协调、联络等相关事宜。
第四十三条  当公司收到上级主管部门进行反洗钱和反恐怖融资调查的通知后,应立即向主管领导汇报,由公司领导组织相关部门及人员召开会议,按上级主管部门要求做好相应准备工作。
第四十四条  调查人员调阅相关账簿、凭证等信息资料时,联络人应首先与相关部门领导沟通,并提供调阅清单,再由相关人员办理调阅手续后予以提供。调查人员约谈有关人员时,亦应与相关部门领导沟通后予以配合。
第四十五条  对于调查人员涉及封存文件、资料时,应当现场查点清楚,由相关人员或部门领导在《反洗钱调查封存清单》上签名或者盖章后留按规定保管。
第四十六条  调查结束后,应由反洗钱办公室向公司主管领导汇报上级主管部门进行反洗钱和反恐怖融资调查情况。
第九章  反洗钱和反恐怖融资工作保密措施
第四十七条  按要求保管的所有客户身份资料、交易记录和为识别客户身份、监测分析交易情况、调查可疑交易活动和查处洗钱案件所搜集的信息,必须严格保密,不得向任何无关的单位和个人透漏。
第四十八条  对可疑交易现象要严格保密,除向交易主体进行查询或调查外及报告给反洗钱和反恐怖融资主管部门外,不得向任何单位和个人泄露有关任何信息。
第四十九条  对网贷机构进行的反洗钱和反恐怖融资调查情况和相关信息,在调查期间,要严格保密,确保反洗钱和反恐怖融资工作健康有序进行。
第十章  可疑交易监测的技术条件
第五十条  逐步建立专门的交易监测系统
第五十一条  根据设定模型分析生成可疑交易预警报告,供专人分析后形成向上级主管部门报送的可疑交易报告或将交易对象加入黑名单。
第五十二条  实行黑名单和交易限额控制
1.交易处理系统包括交易控制检查模块,对被列入黑名单中的交易对象的交易或超过限额的交易进行控制。
2.黑名单来源于监管机构及公安等执法部门以及可疑交易监测系统预警报告的分析结果。
第五十三条  记录并妥善保存网络借贷业务活动数据和资料,通过电子签名、电子认证等方式保障客户基本信息和交易信息数据的真实性、完整性,做好数据备份。保存期限应当符合法律法规及网络借贷有关监管规定的要求。借贷合同到期后应当至少保存5年。
第五十四条  健全的系统安全和权限设置,保证反洗钱信息安全
1.通过网络访问控制,确保只有授权的设备才能访问反洗钱信息。
2.通过区分用户角色与权限,控制只有必要的人员才能接触相关信息。
第十一章  附则
第六十三条  本办法由山东丁丁金融信息咨询服务有限公司负责解释。
第六十四条  本办法自发布之日起施行。
丁丁金服客户信息实名制管理办法
第一条  为加强公司客户信息真实性管理,提高客户服务质量,保护客户合法权益,根据《网络借贷信息中介机构业务活动管理暂行办法》等法律法规,山东丁丁金融信息咨询服务有限公司(下称“丁丁金服”)制定本办法。
第二条  本办法所称客户信息是指出借人和借款人的姓名、性别、出生日期、身份证件或身份证明文件的类型、号码,以及联系电话和联系地址等客户个人信息。
第三条  本办法适用于公司所提供的信息中介服务业务。
第四条  公司提供信息中介服务为客户服务时,应按照本办法的要求收集、记录、管理和使用客户信息。
第五条  公司业务人员应按照准确、完整、安全、保密的原则,收集、记录客户信息,并将客户信息真实、完整地提交,保证平台信息中介服务的正常经营和客户服务的需要。
公司应按照合法、合理、安全、保密的原则,管理、使用客户信息,妥善保管记载客户信息的借贷业务文件,采取有效措施确保客户信息的安全性,防止客户信息泄露。
第六条  公司在提供并办理信息中介业务时,应按照下列要求,认真审核客户信息,保证客户信息的真实、完整:
(一)向客户解释说明采集客户信息的必要性和用途,以及不提供真实、完整客户信息可能带来的后果。
(二)采取有效措施核实客户身份,准确、完整地记录客户信息。
(三)对于下列客户信息存在缺失的,应要求客户补充更正,补充更正完成前不能予以通过:客户的姓名、性别、出生日期、证件类型、证件号码、联系电话和联系地址等。
(四)提示客户如果联系电话和联系地址等客户信息发生变更,应及时办理更正手续。
(五)鼓励和引导客户提供其本人的手机号码。
(六)监管部门的其他有关要求。
第七条  公司应告知客户以下内容:
(一)客户必须提供的客户信息项目和有关要求。
(二)公司采集客户信息特别是联系电话和联系地址的用途,包括但不限于寄送礼品和客户回访等。
(三)客户不提供真实、完整客户信息可能带来的后果。
第八条  公司应加强客户信息真实性管理,建立健全客户信息真实性管理制度和相关内部操作规程,对客户信息的收集、记录、管理和使用等方面提出明确要求,指定专门部门牵头负责客户信息真实性管理工作。
公司应在遵守有关法律法规的前提下,明确要求客户提供真实、完整的身份信息,并对其所提供客户信息的真实性、完整性进行认真有效的审核。
第九条  公司应在遵守有关法律法规的前提下,根据当前业务和客户服务的需要,严格限定接触、使用客户信息的机构、部门、岗位和人员范围,维护双方的合法商业利益。
第十条  公司应按照本办法的有关要求,明确在客户信息的收集、记录、管理和使用等方面应履行的义务和应承担的责任。公司审核发现客户信息存在真实性、完整性问题的,应要求客户进行补充更正。
第十一条  公司应按照本办法的有关要求,建立健全相关内控制度,严禁客户伪造、篡改真实信息。
第十二条  公司应加强对从业人员的管理,需明确从业人员在客户信息的收集、记录、管理和使用等方面应履行的义务和应承担的责任;应对从业人员提出明确的管理要求,严禁违反限定范围接触、使用客户信息。
第十三条  在与客户签订协议或者确认提供服务时,应当要求客户提供真实身份信息。客户不提供真实身份信息的,公司不得为其提供相关服务。
第十四条  按照“后台实名、前台自愿”的原则,对注册客户进行基于移动电话号码等真实身份信息认证。
第十五条  公司应采取以下措施对客户信息的真实性进行审核:
(一)建立健全客户信息安全保护机制,收集、使用客户个人信息应当遵循合法、正当、必要的原则,明示收集使用信息的目的、方式和范围,并经客户同意。
(二)建立健全信息内容审核管理机制,对违法违规信息,视情采取警示、限制功能、暂停更新、关闭账号等处置措施,保存记录并向有关主管部门报告。
(三)定期进行回访,并在回访时对客户进行身份验证,确认受访人是否为本人;如果受访人非本人,应在本人联系电话更正后再次回访。
(四)定期抽查,采取有效措施核实客户信息是否真实或发生变更,审核系统记录的客服的姓名等是否真实、完整。
第十六条  公司每年应对客户信息真实性管理工作进行检查,督促各部门严格落实监管要求,并依据公司规章制度对相关机构和责任人进行责任追究。
第十七条  严格执行为客户保密的原则,不得向任何单位或个人提供有关客户的情况,并有权拒绝任何单位或个人查询客户信息(法律另有规定的除外)。 
第十八条 公司应要求客户在平台进行注册时,应当使用实名,不使用本人身份证件上的姓名的客户,不得为其开立注册账户。 
第十九条  本办法未作规定的,依照有关法律、行政法规和国家有关规定执行。  
第二十条  本办法由丁丁金服负责制定、解释和修改,自发文之日起施行。
丁丁金服投资人风险承受能力分类管理办法
第一章总则

第一条根据《网络借贷信息中介机构业务活动管理暂行办法》 等法律法规,平台为了提高投资人服务质量,特制定本办法。 

第二条本办法所指的投资人分类是指根据投资人风险承受能力大小划分投资人的类别。  

第三条 投资人风险承受能力分类管理办法遵循科学性、适时性和适用性原则:  
(一)科学性原则。通过问卷调查投资人的风险承受能力时,需要对投资人的年龄、财务状况、投资经验、风险偏好等项目进行尽职评估,问卷设计要做到科学、合理、客观。 
(二)适时性原则。投资人的风险承受能力随着年龄、财产和收入状况、资信状况等变化而发生变化,通过与投资人的沟通适时更新投资人的风险承受能力级别。
(三)适用性原则。向投资人提供的产品或服务,应当与投资人的产品认知能力、风险承受能力相适应。  
第四条本 办 法 所 指 的 出 借 人 是 指 在山东丁丁金融信息咨询服务有限公司所有并运营的“丁丁金服”(官网地址www.dingdingjinfu.com)注册的投资者。  
第五条 本办法适用于公司投资人风险承受能力分类管理工作相关部门。
第二章 部门职责
第六条 产品推广部负责制定投资人风险承受能力分类管理办法,对投资人风险承受能力分类管理工作进行指导。  
第七条 客服部对“丁丁金服”平台标的的风险度进行评级,标明相匹配的投资人类型。  
第八条 法务部对投资人风险承受能力分类工作提供法律合规意见和定期组织检查。  
第九条 技术部负责根据业务部门的需求开发、维护投资人风险承受能力分类管理系统,并完善系统对投资人风险承受能力分类的标识和历史数据保存功能。  
第十条 风控部负责投资人风险承受能力分类管理的落实工作,风控部负责人是公司投资人风险承受能力分类管理工作的第一责任人,各部门负责投资人风险承受能力分类的具体实施工作。
第三章 投资人风险承受能力分类评价
第十一条 公司应当了解投资人的资信状况、交易习惯、投资经验、风险承受能力以及风险偏好等情况,根据投资人风险承受能力对投资人进行分类管理。  
第十二条 投资人的风险承受能力分为以下四类:
(一) 保守型:希望本金绝对安全,只能接受较小的市场波动。
(二) 稳健型:倾向于平衡的方式,偏好投资于兼具成长性及收益性的产品,能接受一定的负面波动。
(三)成长型:在投资中注重获得丰厚的投资回报,投资时间较长,投资品种风险偏高,但还未达到热爱风险的地步,对风险难以控制的领域敬而远之。
(四) 积极型:希望投资增长并尽可能地获得最高回报,可以接受短期负面波动,愿意承担全部收益包括本金可能损失的风险。 
第四章 工作流程
第十三条 对新增投资人,应当在投资人出借前对其进行调查和评估,投资人的风险承受能力类型通过问卷测验的方式评估(见附件《P2P网贷投资人风险承受能力评估调查问卷》)。  
第十四条 对已经完成出借的投资人,技术部人员应当有计划有步骤地追溯调查、收集投资者的相应信息,提示其按照《P2P网贷投资人风险承受能力评估调查问卷》评估其风险承受能力。  
第十五条 对投资人风险承受能力评估结果存档保管,并在投资人个人信息界面进行展示。
第五章 投资人风险承受能力分级管理
第十六条 “丁丁金服”官网应当向投资人公开和说明评估投资人风险承受能力的方法。  
第十七条  “丁丁金服”官网应当提醒投资人在财产与收入、资信等状况发生变化时重新接受风险承受能力评估,在投资人关系管理系统中适时更新投资人的风险承受能力评估信息。  

第十八条  “丁丁金服”官网应当根据投资人的风险承受能力评估的结果,结合标的产品的风险大小,对投资人进行动态分级管理,具体标准如下:


第六章附则
第十九条 本办法最终解释权归山东丁丁金融信息咨询服务有限公司所有。 
第二十条 本办法将根据国家相关法律法规、交易规则或政策、公司相关制度的调整而及时更新。  
第二十一条  本办法自发布之日起实施。
附件1:
《P2P网贷投资人风险承受能力评估调查问卷》 
风险提示:网络出借可能获得一定的投资收益,但也存在一定的投资风险,请您根据自身的风险承受能力,审慎作出投资决定。
尊敬的投资人:
为了便于您了解自身的风险承受能力,选择合适的投资标的和服务,请您填写以下风险承受能力评估问卷。下列问题可协助评估您对投资标的和服务的风险承受能力,请您根据自身情况认真选择。评估结果仅供参考,不构成投资建议。为了及时了解您的风险承受能力,我们建议您持续做好动态评估。我们将对您的所有个人资料保密。   
1、你所处的年龄阶段是()
A.18岁—30岁
B.31—50岁
C.51—65岁
D.65岁以上
2、您目前的身体健康状况是()
A、非常好
B、好
C、一般
D、差
3、您的家庭可支配年收入为(折合人民币)是()
A、10万元以下
B、11—30万元
C、31—50万元
D、51万元以上
4、您有多少年投资股票、基金、外汇、金融衍生产品等风险投资品的经验()
A、1年以下
B、1—2年
C、2—5年
D、5年以上
5、在您每年的家庭可支配收入中,用于金融投资(储蓄存款除外)的比例是()
A、10%以下
B、10%—25%
C、25%—50%
D、50%以上
6、您投资P2P网贷的资金占您家庭总资产的比例是()
A.10%以下
B.10%-30%
C.30%-50%
D.50%以上
7、您计划投资的P2P网贷投资期限是多久()
A.1—3个月
B.4—6个月
C.7—9个月
D.10个月以上
8、您期望投资P2P网贷的预期年化收益率是()
A、稍高于同期储蓄定期存款
B、5%—10%
C、10%-15%
D、15%以上
9、您的风险投资偏好是()
A、不希望本金损失,期望获得稳定回报,不愿承担任何投资风险
B、不希望本金损失,但愿意承担最小的投资风险
C、有较高的收益,愿承担中等程度以内的投资风险
D、希望赚取高额回报,愿承担较大程度投资风险
10、在您的投资计划中,您认为自己能承受的最大投资损失是多少()
A.10%以内
B.10%—30%
C.30%—50%
D.50%以上
11、?假设有两种不同的投资:投资A预期获得3%的收益,有可能承担非常小的损失;投资B预期获得50%的收益,但有可能面临55%甚至血本无归的亏损。您会将您的投资资产分配为()
A.全部投资于A?
B.大部分投A,少部分投B
C.大部分投B,少部分投A
D.全部投资于B
*温馨提示:在您考虑投资之前,应该先准备一笔可以随时动用且足以应对不时之需的备用资金。(建议至少是您3个月家庭开支或3至6个月内的个人总支出。)                           
您的得分总计为 _______。                             
我司评估意见 :   
您的风险等级为:保守型 □    稳健型 □    成长型□    积极型 □
附件2:
《P2P网贷投资人风险承受能力评估调查问卷》使用说明
应国家《网络借贷信息中介机构业务活动管理暂行办法(征求意见稿)》第四章第二十六条监管规定:“网络借贷信息中介机构应当对出借人的年龄、健康状况、财务状况、投资经验、风险偏好、风险承受能力等进行尽职评估,不得向未进行风险评估的出借人提供交易服务。”丁丁金服增加P2P网贷投资人风险承受能力评估功能,通过投资人填写《P2P网贷投资人风险承受能力评估调查问卷》评估测试形式进行分级管理。
一、功能概况
1、本问卷供“丁丁金服”平台注册的用户(包括首次注册账户的投资人和评估系统上线前已经完成注册和出借的投资人)评估时参考使用。  
2、投资人的风险承受能力评估目前通过在线填写调查问卷的形式完成,在对存量用户进行评估时,建议以交易数据分析为主,以填写问卷为辅。 
3、本问卷的开篇是风险提示及对投资人的告知,投资人在填写问卷调查时需仔细阅读。 
4、本问卷的问题部分共计11个问题,内容包含“出借人的年龄、健康状况、财务状况、投资经验、风险偏好、风险承受能力”等问题。投资人在填写问卷调查时需根据自身情况如实回答,如投资人对问题内容有不理解的地方,可向公司客服进行咨询。 
5、为便于投资人购买适合自身的产品,丁丁金服根据投资人对11个问题的回答情况,参考风险承受能力评估结果确认模型中每题对应的得分,计算出总分后按照所属区间对应得出评估结果。
6、丁丁金服根据投资人风险承受能力评估结果,将投资人风险承受能力由低到高分为保守型、稳健型、成长型、积极型四种类型。投资人风险承受能力评估结果确认模型是对前面投资人回答情况的解读,是判断投资人风险承受能力的依据。
7、本问卷的评估结果仅供投资人在选择平台标的产品或服务时参考,并不构成投资建议。
二、操作流程
1、用户登录平台进入个人中心后,点击“风险测评”入口,将出现《P2P网贷投资人风险承受能力评估调查问卷》试题。
2、进入测试页面后,勾选符合您现状的选项,点击“确认提交”,系统将给予分级。
3、分级完成后,将在个人中心展现您的测评结果。
三、温馨提示
1、目前本问卷支持多次测评,请根据自身实际变化,深思熟虑,认真填写。
2、投资人风险承受能力测试内容及结果仅供参考,实际投资请慎重。投资有风险,选择需谨慎,请分散投资。
如您在操作中遇到其他问题,欢迎您致电详询客服:400-0531-480。
附件3:


信息科技风险管理规范制度
第一章 总则
第一条 山东丁丁金融信息咨询服务有限公司(以下简称“丁丁金服”)为有效防范平台运用信息系统进行业务处理、经营管理和内部控制过程中产生的风险,促进平台各项业务安全、持续、稳健运行,根据《中华人民共和国民法通则》、《中华人民共和国公司法》、《中华人民共和国合同法》、《关于促进互联网金融健康发展的指导意见》、《网络借贷信息中介机构业务活动管理暂行办法》,以及国家信息安全相关要求和有关法律法规,制定本管理办法。
第二条 本管理办法所称信息科技是指计算机、通信、微电子和软件工程等现代信息技术,在平台业务交易处理、经营管理和内部控制等方面的应用,并包括进行信息科技治理,建立完整的管理组织架构,制订完善的管理制度和流程。
第三条 本管理办法所称信息科技风险,是指信息科技在平台运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第四条 信息科技风险管理的目标是通过建立有效的机制,实现对平台信息科技风险的识别、计量、监测和控制,促进平台安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
第二章 机构职责
第五条 根据平台信息科技治理的要求,法定代表人是本机构信息科技风险管理的第一责任人,负责组织本管理办法的贯彻落实, 董事会应履行以下信息科技管理职责:
(一) 遵守并贯彻执行国家有关信息科技管理的法律、法规和技术标准,落实中国银行业监督管理委员会(以下简称银监会)、中华人民共和国工业和信息化部、中华人民共和国公安部、国家互联网信息办公室相关监管要求。
(二) 审查批准信息科技战略,确保其与平台的总体业务战略和重大策略相一致。评估信息科技及其风险管理工作的总体效果和效率。
(三) 掌握主要的信息科技风险,确定可接受的风险级别,确保相关风险能够被识别、计量、监测和控制。
(四) 规范职业道德行为和廉洁标准,增强内部文化建设,提高全体人员对信息科技风险管理重要性的认识。
(五) 设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况。
(六) 在建立良好的公司治理的基础上进行信息科技治理,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织结构。加强信息科技专业队伍的建设,建立人才激励机制。
(七) 定期对本平台出借人与借款人资金存管、信息披露情况、信息科技基础设施安全、经营合规性等重点环节实施审计,并且应当聘请有资质的信息安全测评认证机构定期对信息安全实施测评认证,向出借人与借款人等披露审计和测评认证结果。同时应当引入律师事务所、信息系统安全评价等第三方机构,对平台合规和信息系统稳健情况进行评估。
(八)每年开展一次全面的安全评估,接受国家或行业主管部门的信息安全检查和审计。确保独立有效的信息科技风险管理审计,对审计报告进行确认并落实整改。
(九) 确保信息科技风险管理工作所需资金。
(十) 确保平台所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程,并安排相关培训。
(十一) 确保本法人机构涉及客户信息、账务信息以及产品信息等的核心系统在中国境内独立运行,并保持最高的管理权限,符合银监会监管和实施现场检查的要求,防范跨境风险。
(十二) 及时向银监会及其派出机构报告本机构发生的重大信息科技事故或突发事件,按相关预案快速响应。
(十三) 配合银监会及其派出机构做好信息科技风险监督检查工作,并按照监管意见进行整改。
(十四) 履行信息科技风险管理其他相关工作。
第六条 平台应设立分管信息科技的副级领导,直接向董事长汇报,并参与决策。副级领导的职责包括:
(一) 直接参与本平台与信息科技运用有关的业务发展决策。
(二) 确保信息科技战略,尤其是信息系统开发战略,符合本平台的总体业务战略和信息科技风险管理策略。
(三) 负责建立一个切实有效的信息科技部门,承担本平台的信息科技职责。确保其履行:信息科技预算和支出、信息科技策略、标准和流程、信息科技内部控制、专业化研发、信息科技项目发起和管理、信息系统和信息科技基础设施的运行、维护和升级、信息安全管理、灾难恢复计划、信息科技外包和信息系统退出等职责。
(四) 确保信息科技风险管理的有效性,并使有关管理措施落实到相关的每一个内设机构和分支机构。
(五) 组织专业培训,提高人才队伍的专业技能。
(六) 履行信息科技风险管理其他相关工作。
第七条 技术部负责平台信息安全、信息系统开发、测试和维护、信息科技运行、业务连续性管理;应对内部管理职责进行明确的界定,各岗位的人员应具有相应的专业知识和技能,重要岗位应制定详细完整的工作手册并适时更新,并对相关人员采取相关的风险防范措施:
(一) 验证个人信息,包括核验有效身份证件、学历证明、工作经历和专业资格证书等信息。
(二) 审核信息科技员工的道德品行,确保其具备相应的职业操守。
(三) 确保员工了解、遵守信息科技策略、指导原则、信息保密、授权使用信息系统、信息科技管理制度和流程等要求,并同员工签订相关协议。
(四) 评估关键岗位信息科技员工流失带来的风险,做好安排候补员工和岗位接替计划等防范措施;在员工岗位发生变化后及时变更相关信息。
第八条 运营管理部职能交叉,要部门协调是信息系统中涉及账务交易的操作、系统参数变更、事件管理的主要部门。运营管理部的职责包括:
(一) 运行与维护应实行职责分离,运行人员应实行专职,不得由其他人员兼任。运行人员应按操作规程巡检和操作。维护人员应按授权和维护规程要求对生产状态的软硬件、数据进行维护,除应急外,其他维护应在非工作时间进行。
(二) 制定详细的运行值班操作表,包括规定巡检时间,操作范围、内容、办法、命令以及负责人员等信息。
(三) 提供机房环境、设备使用、网络运行、系统运行职能交叉,要部门协调等监控信息。
(四) 记录运行值班过程中所有现象、操作过程等信息日志。
(五) 对软件或数据的维护必须通过特定的应用程序进行,添加、删除和修改数据应通过柜员终端,不得对数据库进行直接操作;
(六) 具备各种详细的日志信息,包括交易日志和审计日志等,以便维护和审计。应当记录并留存借贷双方上网日志信息,信息交互内容等数据,留存期限为自借贷合同到期起5年。
(七) 提供维护的统计和报表打印功能。
(八) 对系统参数等设臵变更、维护的要求:
1、 应对信息系统配臵参数实施严格的安全与保密管理,防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途,确定存取权限、方式和授权使用范围,严格审批和登记手续。
2、 制订严密的变更处理流程,明确变更控制中各岗位的职责,并遵循流程实施控制和管理;变更前应明确应急和回退方案,无授权不得进行变更操作。
3、 根据变更需求、变更方案、变更内容核实清单等相关文档审核变更的正确性、安全性和合法性。职能交叉,要部门协调。
(九) 应对机房环境设施实行日常巡检,明确信息系统及机房环境设施出现故障时的应急处理流程和预案,有实时交易服务的数据中心应实行24小时值班。
(十) 实行事件报告制度,发生信息系统造成重大经济、声誉损失和重大影响事件,应即时上报并处理,必要时启动应急处理预案。
第九条 风险管理部负责信息科技风险管理工作,并直接向总部领导(风险管理委员会)报告工作。该部门应为信息科技突发事件应急响应小组的成员之一,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和技术部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。风险管理部的职责包括:
(一) 拟定信息系统风险管理总体政策,并提交高级管理层审查、审批。
(二) 会同相关业务部门对信息系统风险进行识别、监测。
(三) 审核信息系统风险状况。对总部相关业务部门和分支机构信息系统风险状况及维护、运行情况进行监测,并进行实时报告。
(四) 组织新投产后信息系统的后评价,并识别、评估新信息系统中所包含的风险,审核相应的操作和风险管理程序。
第十条 稽核审计部应在部门设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计。稽核审计部负责平台信息系统审计任务,也可聘请经国家相应监管部门认定资质的中介机构进行信息系统外部审计。
第三章 信息科技风险管理
第十一条 平台应制定全面的信息科技风险管理策略,包括但不限于下述领域:
(一) 信息分级与保护。
(二) 信息系统开发、测试和维护。
(三) 信息科技运行和维护。
(四) 访问控制。
(五) 物理安全。
(六) 人员安全。
(七) 业务连续性计划与应急处臵。
第十二条 平台应制定持续的风险识别和评估流程,确定信息科技中存在隐患的区域,评价风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所需资源的优先级别(包括外包供应商、产品供应商和服务商)。
第十三条 平台应依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施。防范措施应包括:
(一) 制定明确的信息科技风险管理制度、技术标准和操作规程等,定期进行更新和公示。
(二) 确定潜在风险区域,并对这些区域进行详细和独立的监控,实现风险最小化。建立适当的控制框架,以便于检查和平衡风险;定义每个业务级别的控制内容,包括:
1、 最高权限用户的审查。
2、 控制对数据和系统的物理和逻辑访问。
3、 访问授权以“必需知道”和“最小授权”为原则。
4、 审批和授权。
5、 验证和调节。
第十四条 平台应建立持续的信息科技风险计量和监测机制,其中应包括:
(一) 建立信息科技项目实施前及实施后的评价机制。
(二) 建立定期检查系统性能的程序和标准。
(三) 建立信息科技服务投诉和事故处理的报告机制。
(四) 建立内部审计、外部审计和监管发现问题的整改处理机制。
(五) 安排各业务部门对服务水平协议的完成情况进行定期审查。
(六) 定期评估新技术发展可能造成的影响和已使用软件面临的新威胁。
(七) 定期进行运行环境下操作风险和管理控制的检查。
(八) 定期进行信息科技外包项目的风险状况评价。
第四章 信息安全
第十五条 技术部负责建立和实施信息分类和保护体系,应使所有员工都了解信息安全的重要性,并组织提供必要的培训,让员工充分了解其职责范围内的信息保护流程。
第十六条 技术部应落实信息安全管理职能。该职能应包括建立信息安全计划和保持长效的管理机制,提高全体员工信息安全意识,就安全问题向其他部门提供建议,并定期向信息科技管理委员会提交本平台信息安全评估报告。信息安全管理机制应包括信息安全标准、策略、实施计划和持续维护计划。信息安全策略应涉及以下领域:
(一) 安全制度管理。
(二) 信息安全组织管理。
(三) 资产管理。
(四) 人员安全管理。
(五) 物理与环境安全管理。
(六) 通信与运营管理。
(七) 访问控制管理。
(八) 系统开发与维护管理。
(九) 信息安全事故管理。
(十) 业务连续性管理。
(十一) 合规性管理。
第十七条 应建立有效管理用户认证和访问控制的流程。用户对数据和系统的访问必须选择与信息访问级别相匹配的认证机制,并且确保其在信息系统内的活动只限于相关业务能合法开展所要求的最低限度。用户调动到新的工作岗位或离开平台时,应在系统中及时检查、更新或注销用户身份。
第十八条应确保设立物理安全保护区域,包括计算机中心或数据中心、存储机密信息或放臵网络设备等重要信息科技设备的区域,明确相应的职责,采取必要的预防、检测和恢复控制措施。
第十九条 应根据信息安全级别,将网络划分为不同的逻辑安全域(以下简称为域)。应该对下列安全因素进行评估,并根据安全级别定义和评估结果实施有效的安全控制,如对每个域和整个网络进行物理或逻辑分区、实现网络内容过滤、逻辑访问控制、传输加密、网络监控、记录活动日志等。
(一) 域内应用程序和用户组的重要程度。
(二) 各种通讯渠道进入域的访问点。
(三) 域内配臵的网络设备和应用程序使用的网络协议和端口。
(四) 性能要求或标准。
(五) 域的性质,如生产域或测试域、内部域或外部域。
(六) 不同域之间的连通性。
(七) 域的可信程度。
第二十条 应通过以下措施,确保所有计算机操作系统和系统软件的安全:
(一) 制定每种类型操作系统的基本安全要求,确保所有系统满足基本安全要求。
(二) 明确定义包括终端用户、系统开发人员、系统测试人员、计算机操作人员、系统管理员和用户管理员等不同用户组的访问权限。
(三) 制定最高权限系统账户的审批、验证和监控流程,并确保最高权限用户的操作日志被记录和监察。
(四) 要求技术人员定期检查可用的安全补丁,并报告补丁管理状态。
(五) 在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项,手动或自动监控系统出现的任何异常事件,定期汇报监控情况。
第二十一条 应通过以下措施,确保所有信息系统安全:
(一) 明确定义终端用户和信息科技技术人员在信息系统安全中的角色和职责。
(二) 针对信息系统的重要性和敏感程度,采取有效的身份验证方法。
(三) 加强职责划分,对关键或敏感岗位进行双重控制。
(四) 在关键的接合点进行输入验证或输出核对。
(五) 采取安全的方式处理保密信息的输入和输出,防止信息泄露或被盗取、篡改。
(六) 确保系统按预先定义的方式处理例外情况,当系统被迫终止时向用户提供必要信息。
(七) 以书面或电子格式保存审计痕迹。
(八) 要求用户管理员监控和审查未成功的登录和用户账户的修改。
第二十二条 应制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全取证分析和预防欺诈。日志可以在软件的不同层次、不同的计算机和网络设备上完成,日志划分为两大类:
(一) 交易日志。交易日志由应用软件和数据库管理系统产生,内容包括用户登录尝试、数据修改、错误信息等。交易日志应按照国家会计准则要求予以保存。
(二) 系统日志。系统日志由操作系统、数据库管理系统、防火墙、入侵检测系统和路由器等生成,内容包括管理登录尝试、系统事件、网络事件、错误信息等。系统日志保存期限按系统的风险等级确定,但不能少于一年。
第二十三条 应保证交易日志和系统日志中包含足够的内容,以便完成有效的内部控制、解决系统故障和满足审计需要;应采取适当措施保证所有日志同步计时,并确保其完整性。在例外情况发生后应及时复查系统日志。交易日志或系统日志的复查频率和保存周期应由技术部门和有关业务部门共同决定,并报信息科技管理委员会批准。
第二十四条 应采取加密技术,防范涉密信息在传输、处理、存储过程中出现泄露或被篡改的风险,并建立密码设备管理制度,以确保:
(一) 使用符合国家要求的加密技术和加密设备。
(二) 管理、使用密码设备的员工经过专业培训和严格审查。
(三) 加密强度满足信息机密性的要求。
(四) 制定并落实有效的管理流程。
第二十五条 配备切实有效的系统,确保所有终端用户设备的安全,并定期对所有设备进行安全检查,包括台式个人计算机(PC)、便携式计算机、手机客户端(APP)等。
第二十六条 制定相关制度和流程,严格管理客户信息的采集、处理、存贮、传输、分发、备份、恢复、清理和销毁。
第二十七条 对所有员工进行必要的培训,使其充分掌握信息科技风险管理制度和流程,了解违反规定的后果,并对违反安全规定的行为采取零容忍政策。
第五章 信息系统开发、测试和维护
第二十八条 应有能力对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废,制定制度和流程,管理信息科技项目的优先排序、立项、审批和控制。项目实施部门应定期向信息科技管理委员会提交重大信息科技项目的进度报告,由其进行审核,进度报告应当包括计划的重大变更、关键人员或供应商的变更以及主要费用支出情况。应在信息系统投产后一定时期内,组织对系统的后评价,并根据评价结果及时对系统功能进行调整和优化。
第二十九条 应认识到信息科技项目相关的风险,包括潜在的各种操作风险、财务损失风险和因无效项目规划或不适当的项目管理控制产生的机会成本,并采取适当的项目管理方法,控制信息科技项目相关的风险。
第三十条 采取适当的系统开发方法,控制信息系统的生命周期。典型的系统生命周期包括系统分析、设计、开发或外购、测试、试运行、部署、维护和退出。所采用的系统开发方法应符合信息科技项目的规模、性质和复杂度。
第三十一条 制定相关控制信息系统变更的制度和流程,确保系统的可靠性、完整性和可维护性,其中应包括以下要求:
(一) 生产系统与开发系统、测试系统有效隔离。
(二) 生产系统与开发系统、测试系统的管理职能相分离。
(三) 除得到管理层批准执行紧急修复任务外,禁止应用程序开发和维护人员进入生产系统,且所有的紧急修复活动都应立即进行记录和审核。
(四) 将完成开发和测试环境的程序或系统配臵变更应用到生产系统时,应得到技术部门和业务部门的联合批准,并对变更进行及时记录和定期复查。
(五) 制定并落实相关制度、标准和流程,确保信息系统开发、测试、维护过程中数据的完整性、保密性和可用性。
第三十二条 建立并完善有效的问题管理流程,以确保全面地追踪、分析和解决信息系统问题,并对问题进行记录、分类和索引;如需供应商提供支持服务或技术援助,应向相关人员提供所需的合同和相关信息,并将过程记录在案;对完成紧急恢复起至关重要作用的任务和指令集,应有清晰的描述和说明,并通知相关人员。
第六章 信息科技运行
第三十三条 在选择数据中心的地理位臵时,应充分考虑环境威胁(如是否接近自然灾害多发区、危险或有害设施、繁忙或主要公路),采取物理控制措施,监控对信息处理设备运行构成威胁的环境状况,并防止因意外断电或供电干扰影响数据中心的正常运行。
第三十四条 严格控制第三方人员(如服务供应商)进入安全区域,如确需进入应得到适当的批准,其活动也应受到监控;针对长期或临时聘用的技术人员和承包商,尤其是从事敏感性技术相关工作的人员,应制定严格的审查程序,包括身份验证和背景调查。
第三十五条 应将信息科技运行与系统开发和维护分离,确保信息科技部门内部的岗位制约;对数据中心的岗位和职责做出明确规定。
第三十六条 按照有关法律法规要求保存交易记录,采取必要的程序和技术,确保存档数据的完整性,满足安全保存和可恢复要求。
第三十七条 制定详尽的信息科技运行操作说明。如说明计算机操作人员的任务、工作日程、执行步骤,以及生产与开发环境中数据、软件的现场及非现场备份流程和要求(即备份的频率、范围和保留周期)。
第三十八条 建立事故管理及处臵机制,及时响应信息系统运行事故,逐级向相关的信息科技管理人员报告事故的发生,并进行记录、分析和跟踪,直到完成彻底的处臵和根本原因分析。平台应建立服务台,为用户提供相关技术问题的在线支持,并将问题提交给相关信息科技部门进行调查和解决。
第三十九条 建立服务水平管理相关的制度和流程,对信息科技运行服务水平进行考核。
第四十条 建立连续监控信息系统性能的相关程序,及时、完整地报告例外情况;该程序应提供预警功能,在例外情况对系统性能造成影响前对其进行识别和修正。
第四十一条 制定容量规划,以适应由于外部环境变化产生的业务发展和交易量增长。容量规划应涵盖生产系统、备份系统及相关设备。
第四十二条 及时进行维护和适当的系统升级,以确保与技术相关服务的连续可用性,并完整保存记录(包括疑似和实际的故障、预防性和补救性维护记录),以确保有效维护设备和设施。
第四十三条 制定有效的变更管理流程,以确保生产环境的完整性和可靠性。包括紧急变更在内的所有变更都应记入日志,由技术部门和业务部门共同审核签字,并事先进行备份,以便必要时可以恢复原来的系统版本和数据文件。紧急变更成功后,应通过正常的验收测试和变更管理流程,采用恰当的修正以取代紧急变更。
第七章 业务连续性管理
第四十四条 根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划,以确保在出现无法预见的中断时,系统仍能持续运行并提供服务;定期对规划进行更新和演练,以保证其有效性。
第四十五条 评估因意外事件导致其业务运行中断的可能性及其影响,包括评估可能由下述原因导致的破坏:
(一) 内外部资源的故障或缺失(如人员、系统或其他资产)。
(二) 信息丢失或受损。
(三) 外部事件(如战争、地震或台风等)。
第四十六条 应采取系统恢复和双机热备处理等措施降低业务中断的可能性,并通过应急安排和保险等方式降低影响。
第四十七条 建立维持其运营连续性策略的文档,并制定对策略的充分性和有效性进行检查和沟通的计划。其中包括:
(一) 规范的业务连续性计划,明确降低短期、中期和长期中断所造成影响的措施,包括但不限于:
1、 资源需求(如人员、系统和其他资产)以及获取资源的方式。
2、 运行恢复的优先顺序。
3、 与内部各部门及外部相关各方(尤其是监管机构、客户和媒体等)的沟通安排。
(二) 更新实施业务连续性计划的流程及相关联系信息。
(三) 验证受中断影响的信息完整性的步骤。
(四) 当平台的业务或风险状况发生变化时,对本条一到三进行审核并升级。
第四十八条 平台的业务连续性计划和年度应急演练结果应由信息科技风险管理部门或信息科技管理委员会确认。
第八章 外包与审计
第一节 外包
第四十九条 不得将平台信息科技管理责任外包,应合理谨慎监督外包职能的履行。应当聘请会计师事务所定期对本机构出借人与借款人资金存管、信息披露情况、信息科技基础设施安全、经营合规性等重点环节实施审计,并且应当聘请有资质的信息安全测评认证机构定期对信息安全实施测评认证,向出借人与借款人等披露审计和测评认证结果。
第五十条 实施重要外包(如数据中心和信息科技基础设施等)应格外谨慎,在准备实施重要外包时应以书面材料正式报告银监会或其派出机构。
第五十一条 在签署外包协议或对外包协议进行重大变更前,应做好相关准备,其中包括:
(一) 分析外包是否适合平台的组织结构和报告路线、业务战略、总体风险控制,是否满足平台履行对外包服务商的监督义务。
(二) 考虑外包协议是否允许平台监测和控制与外包相关的操作风险。
(三) 充分审查、评估外包服务商的财务稳定性和专业经验,对外包服务商进行风险评估,考查其设施和能力是否足以承担相应的责任。
(四) 考虑外包协议变更前后实施的平稳过渡(包括终止合同可能发生的情况)。
(五) 关注可能存在的集中风险,如多家平台共用同一外包服务商带来的潜在业务连续性风险。
第五十二条 在与外包服务商合同谈判过程中,应考虑的因素包括但不限于:
(一) 对外包服务商的报告要求和谈判必要条件。
(二) 网贷监管机构和内部审计、外部审计能执行足够的监督。
(三) 通过界定信息所有权、签署保密协议和采取技术防护措施保护客户信息和其他信息。
(四) 担保和损失赔偿是否充足。
(五) 外包服务商遵守平台有关信息科技风险制度和流程的意愿及相关措施。
(六) 外包服务商提供的业务连续性保障水平,以及提供相关专属资源的承诺。
(七) 第三方供应商出现问题时,保证软件持续可用的相关措施。
(八) 变更外包协议的流程,以及平台或外包服务商选择变更或终止外包协议的条件,例如:
1、 平台或外包服务商的所有权或控制权发生变化。
2、 平台或外包服务商的业务经营发生重大变化。
3、 外包服务商提供的服务不充分,造成平台不能履行监督义务。
第五十三条 在实施双方关系管理,以及起草服务水平协议时,应考虑的因素包括但不限于:
(一) 提出定性和定量的绩效指标,评估外包服务商为平台及其相关客户提供服务的充分性。
(二) 通过服务水平报告、定期自我评估、内部或外部独立审计进行绩效考核。
(三) 针对绩效不达标的情况调整流程,采取整改措施。 
第五十四条 加强信息科技相关管理工作,确保平台的客户资料等敏感信息的安全,包括但不限于采取以下措施:
(一) 实现本平台客户资料与外包服务商其他客户资料的有效隔离。
(二) 按照“必需知道”和“最小授权”原则对外包服务商相关人员授权。
(三) 要求外包服务商保证其相关人员遵守保密规定。
(四) 应将涉及本客户资料的外包作为重要外包,并告知相关客户。
(五) 严格控制外包服务商再次对外转包,采取足够措施确保平台相关信息的安全。
(六) 确保在中止外包协议时收回或销毁外包服务商保存的所有客户资料。
第五十五条 平台应建立恰当的应急措施,应对外包服务商在服务中可能出现的重大缺失。尤其需要考虑外包服务商的重大资源损失,重大财务损失和重要人员的变动,以及外包协议的意外终止。
第五十六条 平台所有信息科技外包合同应由技术部、风险管理部、法律合规部和信息科技管理委员会审核通过。平台应设立流程定期审阅和修订服务水平协议。
第二节 审计
第五十七条 平台内部审计部门应根据业务的性质、规模和复杂程度,对相关系统及其控制的适当性和有效性进行监测。稽核审计部门应配备足够的资源和具有专业能力的信息科技审计人员,独立于平台的日常活动,具有适当的授权访问平台的记录。
第五十八条 平台内部信息科技审计的责任包括:
(一) 制定、实施和调整审计计划,检查和评估平台信息科技系统和内控机制的充分性和有效性。
(二) 按照第一款规定完成审计工作,在此基础上提出整改意见。
(三) 检查整改意见是否得到落实。
(四) 执行信息科技专项审计。信息科技专项审计,是指对信息科技安全事故进行的调查、分析和评估,或审计部门根据风险评估结果对认为必要的特殊事项进行的审计。
第五十九条 平台应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果,决定信息科技内部审计范围和频率。但至少应每两年进行一次全面审计。
第六十条 平台在进行大规模系统开发时,应要求信息科技风险管理部门和内部审计部门参与,保证系统开发符合本平台信息科技风险管理标准。
第六十一条 平台可以在符合法律、法规和监管要求的情况下,委托具备相应资质的外部审计机构进行信息科技外部审计。
第六十二条 在委托审计过程中,平台应确保外部审计机构能够对本平台的硬件、软件、文档和数据进行检查,以发现信息科技存在的风险,国家法律、法规及监管部门规章、规范性文件规定的重要商业、技术保密信息除外。
第六十三条 平台在实施外部审计前应与外部审计机构进行充分沟通,详细确定审计范围,不应故意隐瞒事实或阻挠审计检查。
第六十四条 银监会及其派出机构必要时可指定具备相应资质的外部审计机构对平台执行信息科技审计或相关检查。外部审计机构根据银监会或其派出机构的委托或授权对平台进行审计时,应出示委托授权书,并依照委托授权书上规定的范围进行审计。
第六十五条 外部审计机构根据授权出具的审计报告,经银监会及其派出机构审阅批准后具有与银监会及其派出机构出具的检查报告同等的效力,被审计的平台应根据该审计报告提出整改计划,并在规定的时间内实施整改。
第六十六条 平台在委托外部审计机构进行外部审计时,应与其签订保密协议,并督促其严格遵守法律法规,保守本平台的商业秘密和信息科技风险信息,防止其擅自对本平台提供的任何文件进行修改、复制或带离现场。
第九章 附则
第六十七条 本办法由丁丁金服负责解释和修订。
第六十八条本办法自下发之日起实施。

业务反欺诈管理实施细则
第一章 总则
第一条 为防范公司业务中面临的潜在欺诈风险,通过加强制度建设和提高管理水平,完善内部监督和外部防范,降低公司因他人恶意行为所造成的损失,保护公司资产安全,根据《中华人民共和国反洗钱法》、《网络借贷信息中介机构业务活动管理暂行办法》等制度,制定本实施细则。
第二章 释义
第二条 本实施细则所称欺诈指客户、员工或其他第三者在与公司的往来过程中提供不真实的文件、资料,以及恶意与公司进行不当交易,其行为足以导致公司方面形成损失。
第三条 本实施细则所指不真实文件包括但不限于提交给公司的各种客户基础资料、各类经营合同、公司及有权签字人的签章和签字、担保物权属的证明文件等等。
第四条 本实施细则所指不当交易包括但不限于:
1、通过与公司之间的对手交易谋求不当得利;
2、通过公司资金渠道进行违法违规交易,如洗钱等。
第三章 职责分工
第一节 岗位设置
第五条 反欺诈管理岗牵头承担对内合规监控和对外防范欺诈的主要工作,反欺诈人员要保证对存量授信客户每月不低于2%的抽查比例。公司员工都需参与防欺诈的日常工作,并配合反欺诈管理岗防范欺诈事件。
第六条 公司业务设置反欺诈管理岗,负责本部反欺诈工作的执行及各分机构反欺诈管理的牵头工作。
第七条 反欺诈管理岗原则上专人专岗。业务初期人力资源紧张的情况下,可由风控管理岗兼任,但不可由客户开发人员或营销管理人员兼职。
第二节 岗位职责
第八条 反欺诈管理岗的主要职责是针对公司面临的潜在欺诈风险,进行预防、侦测、调查,以避免公司因被骗贷而产生的损失。反欺诈管理岗的主要职责:
1.负责对业务从业人员尽职情况进行监控,防范道德风险。
2.牵头负责防范内、外部诈骗。
第九条 反欺诈管理岗可以对所有业务相关人员和所有作业点进行抽测,对业务相关人员和业务的检测没有盲点。
第三节 汇报路线
第十条 经初步判断,对公司内部人员没有参与而只由客户单方面向公司进行的欺诈,可由反欺诈管理岗与业务相关人员共同展开调查;对于怀疑存在员工道德风险的欺诈,由反欺诈管理岗单独检查。
第十一条 公司反欺诈管理岗向业务风控管理团队主管进行工作汇报,出现重大情况及其它必要情况时,可直接向业务主管或分管领导汇报。
第四章 运行步骤
第一节 基本理念
第十二条 反欺诈工作包括日常宣导、监督预防、检查侦测、调查取证和资料分析五大环节,贯穿于业务流程的各个阶段,覆盖业务进行过程中内部监控外部管理的各个层面。
第十三条 反欺诈工作实行全员动员、全员参与的运行机制,全体员工都有义务、有责任报告违法、违规或可疑行为,提供建立合规防骗的意见建议,提高公司反欺诈工作的能力和水平。
第二节 日常宣导
第十四条 日常宣导面向全体员工,通过提高员工的职业水平和防欺诈能力,提升公司整体防欺诈能力。
第十五条 日常宣导的内容既包括正向的专业职能培训,也包括逆向的反欺诈训练。通过加强专业职能培训,强化标准化的操作规程,提高员工的职业水平和防欺诈能力,提升业务整体防欺诈能力。
第三节 监督预防
第十六条 监督预防工作是反欺诈的重要内容,要加强对日常工作的监督和检查,对问题提早发现、尽早解决。
第十七条 监督预防可根据预警信号传达的信息入手。预警信号可分为三类:客户端预警信号,公司作业端预警信号及内部员工异常信号。
第十八条 客户端预警信号由业务人员、预警人员为主提供。
以下情况的出现可能成为客户端的预警信号:
1、负责人花大部分时间推销自己而非陈述所面对的经营问题;
2、并购或出售主要业务,但无明显策略目的,或可能导致公司重大损失;
3、公司账目与公司记录不符;
4、不寻常地利用现金来交易;
5、重大失窃/不寻常意外事件导致重大财产损失;
6、遗失重要内部稽核记录;
7、业务业绩严重偏离财务预算目标;
8、公司内部存货和财务管理明显草率;
9、有供应商抱怨经常延迟拿到或根本拿不到货款;
10、突然更换现有会计师或法律顾问,改聘业界口碑不好的会计公司或顾问;
11、持续与主管机构有争执或负责人有未决司法案件;
12、现金流和账面业绩及收入明显不符;
13、不寻常设立过多关联企业或子公司;
14、过度渲染市场对产品的需求或负责人财力;
15、重要经营团队或主要高管人员突然离职;
16、不寻常迁移营业处所;
17、员工流动率偏高或与公司联络人员频繁更换;
18、突然电话无法联络;
19、疑为洗钱的交易。
第十九条 公司作业端预警信号由各分机构等其它与客户进行业务接洽的部门为主提供。
以下情况的出现可能成为公司作业过程中的预警信号:
1、营业时间截止前进行不寻常的交易;
2、贴近公司给予客户使用额度上限的交易(如公司给予某客户每次的提款额度为20万,该客户每次提款都是199999或199000之类的交易情况);
3、明显化整为零的交易;
4、交易金额贴近监管法定上限的交易(如公司按照《中华人民共和国反洗钱法》、《人民币公司结算账户管理办法》、《网络借贷信息中介机构业务活动管理暂行办法》等规定制定了关于账户交易的金额及次数的限制性规定,某客户选择贴近监管上限的交易金额或次数进行交易,以实现表面合规);
5、客户不寻常要求取消的交易;
6、主要交易条件更改的交易;
7、超出系统授权功能而需要人工批准的交易;
8、异常密码打错记录的交易(如系统设定容忍的密码打错次数为6次,该笔交易密码打错出现5或6次);
9、需客户回复确认函但客户未予回复的交易;
10、邮寄公司对账单的退回;
11、反欺诈查出的不符合作业规定的交易;
12、客户反映交易规定不合理但公司并无此项规定的交易。
第二十条 内部员工异常信号由同一部门员工、业务流程前后手相关人员、人力资源部门及法律合规部门等有关人员负责提供,当员工行为与职业道德有所背离,或其生活规律突然有所改变时,即是强烈需要关注的异常信号。
以下情况的出现可能成为内部员工异常表现的预警信号:
1、经常未经核准而在工作中离开岗位;
2、上班时间向同事借钱;
3、个人债务的债主到公司讨债;
4、不遵守一般的作业规范;
5、兼职或副业与工作职责有冲突;
6、性格突然改变;
7、不是由于工作需要而长时间呆在办公室;
8、酗酒;
9、做事明显没有上进心;
10、行踪神秘;
11、迟延或拒绝相关同事或部门了解其工作内容;
12、有大量私人电话,尤其在一个人加班时段;
13、办公用品私用以谋取个人利益;
14、所得与日常生活不相当;
15、无正当理由而未按规定年休。
第二十一条 建立业的“黑名单”信息系统。
公司的“黑名单”信息来源:一是通过公司相关部门及团队提供的对内部指引的信号去寻找存量客户和目标客户中的高危人群。如行业协会“黑名单”,人行等金融监管机构列入“黑名单”企业等,二是通过公司从法院、海关、税务、工商、质检、社会劳动保障局、评估公司、会计事务所等部门获取的外围信息。
各分机构的“黑名单”信息来源于各行相关部门及岗位,并将“黑名单”信息及时或每月五日前报于公司。
由公司反欺诈管理岗不定期将这些名单发公告与全辖,进行关注、核查并主动采取措施。
第四节 检查侦测
第二十二条 检查侦测是以发现潜在问题为目的而进行的抽检分析工作,包括对当前表现状态为正常的交易进行的抽检。
第二十三条 全体业务相关人员都是检查侦测的对象,各项相关业务都属于检查侦测的范围。检查侦测采取随机抽样的方式进行,抽样的频率和比例依据了解认定的风险高低来决定,并根据实际发生的业务数量、业务部门、业务产品进行调整。
第二十四条 检查侦测可通过系统钩稽进行资料核对,以检验客户相关资料及交易信息的真实性。对于情况不符的资料(如报表、凭证)应交反欺诈管理岗负责审核。
第二十五条 对于在对公柜台等其它业务部门发现的客户欺诈嫌疑案件,相关部门应提交至业务反欺诈管理岗作进一步核查,进行交叉验证。
第五节 调查取证
第二十六条 随机抽样发现或相关部门反映的异常情况均要登记备案。
第二十七条 对于初步判断没有公司员工参与的案件,随机抽样发现或相关部门反映的疑似案件,相关调查在五个工作日内完成,需延长至五日以上完成的调查需报业务主管同意并记录延长原因。
第二十八条 对于初步判断涉及公司员工参与的,或现有资料不足需跨部门协同调查的案件,应由反欺诈管理岗拟订调查计划,经业务主管批准后执行。
第六节 资料分析
第二十九条 反欺诈管理岗应对各种渠道汇总的资料进行综合分析,并根据需要与有关人员进行沟通。
第三十条 当现有资料足以确定客户存在欺诈行为时,反欺诈管理人员将有关情况汇总并整理报告,报送业务风控管理团队主管,并采取适当措施,包括:冻结客户额度,通告业务人员、审批人员等有关业务端进行配合等。
第三十一条 对于涉案情况性质严重的,应汇报高层领导及通知法律及合规、人力资源等相关部门,并寻求外部司法支持。
第五章 控制政策
第一节 流程控制
第三十二条 流程控制是通过规定的业务程序实行业务操作,避免人为干预,以实现风险防范的重要手段。业务流程控制强调执行已有的既定流程,重点涉及风控送审管理和客户移交管理。风控送审管理要求建立风控提案的分派制度,避免通过寻求特定审批人员受理的途径谋求不当利益。客户移交管理要求客户开发人员与客户维护人员进行交叉分工。
第二节 人员管理
第三十三条 对业务从业人员,以适当方式了解其工作、生活是否存在显著的不合常规之处。对存在嫌疑的员工,应将其调离敏感重要岗位,直至相关疑虑被澄清。
第三十四条 休假轮岗是加强反欺诈、防止内外串通、防范欺诈的重要制度手段,应严格按规定办理。员工正常休假和强制休假按公司有关管理实施细则执行,反欺诈管理岗可视反欺诈需要扩大强制休假的通用范围,但需要逐级报请业务主管或分管副总同意后实施。
第三节 随机抽样
第三十五条 随机抽样原则是检查抽样时的基本原则,包括对业务相关人员检查和对业务检查。抽样调查应覆盖业务流程的各个环节,并保持一定的频度。
第三十六条 随机抽样原则的实施在保证抽检工作公平性、科学性的同时,能够给全体业务人员以监督压力和警示作用,避免员工侥幸心理的存在。
第六章 防控环节
第三十七条 反欺诈管理岗对从发起到授后各个业务环节应进行全程检查,检查可采用抽样方式,也可采用专项业务检查方式。业务检查的重点主要包括以下环节:
1、业务发起前,业务人员是否按规定对资料、文件进行审核。
2、业务人员是否按规定审核客户合同和担保品登记。
3、在业务发起、审批及放款过程中,核查业务人员是否按照标准作业流程进行操作,资料是否完备等内容。
4、押品管理人员是否按规定对担保品进行核查。
5、业务人员是否按规定对客户资料和项目信息查证。
6、客户日常维护过程中,检查客户资料是否定期更新,并注意其中的变动情况。
7、检查一般客户并未经一般预警程序,即直接进入“信用恢复”程序的状况。对客户将发生偿付本息困难的应予重点检查。
8、处理抵押物是业务的敏感环节,对抵押物评估价值是否明显高于一般水平,执行清算时对抵押物评估异常低估,或同一案件两者存在重大差异时应注意核查。
9、对客户反映关于内部员工的情况应予以重视,对于可能涉及工作失职的环节应予核查。
10、员工离职前应对其反映的组织中或其他人员的不当行为应予重视。
第三十八条 政府及同业披露的新的欺诈案件及有关防范手段是良好教材,应加强学习和研究,不断提高反欺诈的业务水平。
第七章 附则
第三十九条 本实施细则自发布之日起施行,由山东丁丁金融信息咨询服务有限公司负责修订并解释。
网贷常见术语

网贷常见术语

借款人:

也称贷款人,是指已经或准备在网站上进行贷款活动的用户。

出借人:

也称投资人,是指已经或准备在网站上进行出借活动的用户。

18周岁以上的中国大陆地区公民,都可以成为理财人。

投标:

是指理财人将其账户内指定的金额出借给其指定的借款列表的行为。

满标:

是指一个借款列表在投标期限内足额筹集到所需资金。

流标:

是指一个借款列表的投标期限已过,但是贷款没有足额筹集齐,即贷款失败。

等额本息:

定义:等额本息还款法是一种被广泛采用的还款方式,在还款期内,每月偿还同等数额的贷款(包括本金和利息)。借款人每月还款额中的本金比重逐月递增、利息比重逐月递减。

其计算公式如下:

每月还款额=[贷款本金×月利率×(1+月利率)^还款总期数]÷[(1+月利率)^还款总期数-1]

因计算中存在四舍五入,最后一期还款金额与之前略有不同。

先息后本:

定义:先息后本还款法是指在借款期内,借款人每月偿还借款的利息,到期后归还本金及未结清利息的还款方式。

到期还本付息:

定义:到期还本付息还款法是指在借款到期后,借款人一次性偿还借款的本金和利息的还款方式。

什么是P2P网络借贷平台?

什么是P2P网络借贷平台?

P2P其中P是英文peer的意思。主要是指个人通过第三方平台在收取一定费用的前提下向其他个人提供小额借贷的金融模式。客户对象主要有两方面,一是将资金借出的客户,另一个是需要贷款的客户。

随着互联网技术的快速发展和普及,P2P小额借贷逐渐由单一的线下模式,转变为线下线上并行,即线上进行理财,线下贷款审核,随之产生的就是P2P网络借贷平台。这使更多人群享受到了P2P小额信贷服务。P2P网络借贷平台发展的另一个重要目的,就是通过这种借贷方式来缓解人们因为在不同年龄时收入不均匀而导致的消费力不平衡问题。

P2P网络借贷就是P2P借助互联网,P2P网络借贷平台为有资金需求和理财需求的个人搭建了一个网络借贷交易平台。借款人在平台上发布借款请求;投资人通过平台,将闲散资金根据个人偏好分散出借给信用良好的借款人。

此类平台作为中介,平台不吸储,不放贷,只提供金融信息服务。

什么人适合投资P2P?

什么人适合投资P2P?

一、什么人适合投资P2P?

1、对基金股票等权益类投资有抵触心理的投资者。

这类投资者往往被权益类投资深深伤害过,自我判断很难长年稳定从权益类市场中获取盈利。理论上说,筛选一个靠谱的P2P平台远远比在正确的时机操作正确的权益类资产容易得多得多。

2、对互联网信息有较强判断能力的投资者。

这类投资者本身是互联网从业人员或者互联网重度用户,对互联网信息真伪有较强识别能力,比其他人更容易获取信息及判断信息价值。P2P作为互联网金融典型代表,平台多模式多信息多变化快,这类投资者较容易如鱼得水。

3、学习能力强有原则性的投资者。

无论是哪种投资,最有收获的始终是学习能力强且有自己原则的投资者。这类投资者有部分比例会从P2P开始学习投入到权益类市场中。

4、P2P当成家庭资产配置重要一环的投资者。

这类投资者已经掌握多种投资工具,能够在不同经济环境下根据家庭资产状况配置不同资产,P2P的认知是较为准确:P2P仅是个投资工具,不需要过分追捧,也不需要刻意贬低或回避,合理利用即可。

如果你是这四类投资者,适合投资P2P。

二、什么人不适合投资P2P?

1、有能力及信心从基金、股市、期货等单一高收益高风险金融产品中长年稳定获得高收益的投资者,且不认同资产配置理念,没有必要选择投资P2P。

这类投资者有较丰富的权益类市场投资经验和信心,并且不认同或者不理解资产配置理念,觉得P2P投资收益偏低风险偏高,不值得投入时间。

2、只看收益不看风险的投资者,不应选择投资P2P乃至其他一切高风险的金融产品。

这类投资者大都表现于对平台的宣传盲目信任,只记住了平台告知的收益率,只看重短期收到的利息,忽视了本金损失的风险。

3、觉得民间借贷不可信的投资者。

这类投资者觉得民间借贷不可信,风险高,收益不对等,自然不应选择脱胎于民间借贷的P2P投资。

4、学习能力较弱的投资者。

这类投资者缺乏对P2P的基础了解,并且不愿意抽出时间学习及独立思考,喜欢追问“**平台怎么样?”这类问题,喜欢盲信一些“有经验的投资前辈”对平台的判断。

这类投资者需至少进化到问“**平台借款模式是什么?这类借款模式背后的风险是什么?”这类问题才可以投资P2P。

如果你是这四类投资者,不适合投资P2P。

本站部分文字及图片均来自于网络,如侵犯到您的权益,请及时通知我们