银行：农村信用社信息科技风险防范与对策.doc

银行：农村信用社信息科技风险防范与对策 随着银行业科技进步的步伐加快，信息集中程度不断提高，导致农村信用社信息科技风险防范工作面临着新的形势、新的情况和新的问题，信息科技风险事件凸现，普遍存在重视信息科技建设、轻信息科技管理，重信息科技建设的档次提升、轻信息科技风险防范，重眼前业务发展、轻长期信息科技发规划等问题。本文拟就做好信息科技风险防范工作谈两点意见。 一、当前农村信用社信息科技风险管理中存在的主要问题 目前农村信用社对信息科技风险的管理相对薄弱，管理层缺乏对信息科技的关注和统筹安排，对信息科技的风险了解不多，导致一些风险事项时有发生，存在以下几个突出问题。 （一）对信息科技风险认识不到位。从调查发现，信息科技管理部门人员配备不足，参加信息科技风险培训较少，缺少完整、系统的信息科技风险的概念和相关知识，对自身运营的业务系统、机房管理、ATM等实体系统认识较深，对信息科技项目开发和变更管理情况、业务持续性计划等认识较为肤浅，部分人员甚至在信息科技风险就是保证业务系统正常运转的错误观念，极易忽视了自身各级系统的漏洞和隐患排查、除险。 （二）组织机构及岗位设置不到位。各级管理层没有成立相关信息科技风险管理的领导和决策机构，科技部门独立于其它业务部门之外现象比较普遍人员数量不足，系统开发、技术支持、系统操作维护和系统安全不能严格分开，主要技术支持岗位未实现岗位定期轮换。缺乏专门的技术风险管理部门或岗位进行有效的监督约束，不能有效识别并量化可能存在的信息科技风险因素。 （三）制度制定与制度执行不到位。很多单位不能严格执行相关计算机应用管理制度和中心机房管理规定，项目资料文档不完整，缺少部分年度的项目资料文档，有的对机房运行日志未按规定进行登记，部分新型设备购买后未及时更新相关的管理制度，制度没有随着信息资产的升级而更新，不能起到防范风险的作用。 （四）外部制约与风险控制环节不到位。辖内所有法人机构及营业网点均未接受有关信息科技风险的外部评估，部分机构向监管部门提供的审计检查报告多是在信息科技人员自我评价的基础上形成的，这种“既当运动员又当裁判员”的评估，易给金融机构带来信息科技审计制约风险。尤其是项目开发外包管理缺乏有效的风险防范手段，没有经常性的对外包服务商近期经营状况和提供的服务状况进行评价和报告，缺乏对外包商有效的监督和约束；没有正式经过批准的针对外包服务商的应急方案和解除服务方案。业务需求部门随意性强，系统变更与投产过于频繁，增大了开发与维护人员工作压力，也影响了前台业务质量。 （五）科技信息衍生品风险管理不到位。随着银行卡业务的迅速扩张和竞争的日趋激烈，有关银行卡方面的投诉、纠纷、案件频发，银行卡业务风险处于多发、高发期。银行卡业务主要风险包括：通过ATM机取现、POS机套现(消费)或网络(电话)转账等形式而发生的外部欺诈风险；特约商户非法交易或违章操作引起持卡人或发卡机构资金损失的中介机构职务之便与不法分子勾结、串通作案造成的内部操作风险。这些风险不仅对客户及银行的资金安全造成威胁，对银行的声誉也造成了严重影响。 二、加强信息科技风险防范的对策 （一）加强培训学习的频度和浓度。要结合银监会有关银行业金融机构信息科技风险管理文件要求，组织对辖内信息科技人员培训、学习和贯彻。重点学习好2006年以来银监会下发的有关信息科技风险监管方面的文件，目的就是通过系统地学习和培训，让相关人员掌握银监会有关信息风险监管的要求，自觉地在工作中贯彻执行。多组织辖内员工收看银监会有关信用卡收单风险管理培训等方面的讲座。 （二）建立多种层面的防范联动协机制。一是要建立各级信息科技负责人联席会议制度，及时传达学习银监会和山东银监局信息科技风险监管文件、要求，开展经验交流，共同研究和解决工作中出现的新问题、新情况。二是要建立统计信息部门与各业务部门之间的联动机制，实现各部门间的防范优势互补和信息共享，形成监管合力。三是各银行业机构也要建立内部信息科技风险的协调机制，由一名行级领导牵头成立协调组织机构，将信息科技作为各业务条线的结合点，统筹研究，明确责任，自查本行信息科技方面存在的问题，遇到内部不能协调解决的问题时，要及时同监管部门沟通，共同解决。 （三）完善信息科技风险内控制度。要按照银监会《银行业金融机构信息系统风险管理指引》的要求，对可能出现的管理漏洞和执行不严等问题，查缺补漏，调整优化，严格评估信息安全内控体系的完整性和实施的有效性。辖内各机构、各网点要主动开展一次内部审计，有条件的法人机构要开展一次外部审计。要严格按照银监会要求和部署，适时组织开展对辖内机构信息科技风险状况的现场检查。 （四）加强银行卡、POS机市场营销和电子银行类业务的风险防范。近几年，银行卡和电子银