農(nóng)信社風(fēng)險管理問題及建議
農(nóng)信社風(fēng)險管理問題及建議
符學(xué)麗
合規(guī)已成為農(nóng)村信用社內(nèi)部一項核心的風(fēng)險管理活動,合規(guī)風(fēng)險逐漸成為除信用風(fēng)險�����、市場風(fēng)險和操作風(fēng)險之外的農(nóng)村信用社面臨的重要風(fēng)險���。因此�����,銀監(jiān)部門的監(jiān)管重點已從農(nóng)村信用社體制監(jiān)管逐步轉(zhuǎn)移到合規(guī)經(jīng)營上來���,以力促合規(guī)經(jīng)營為主要目標(biāo)的合規(guī)風(fēng)險管理工作成為今年農(nóng)村信用社系統(tǒng)一大熱點問題���。但從目前工作進(jìn)展情況來看,農(nóng)村信用社合規(guī)風(fēng)險管理還存在許多深層次的問題��。就當(dāng)前農(nóng)村信用社的實際���,及近二年我縣聯(lián)社在市辦的各項檢查情況,對如何完善農(nóng)村信用社合規(guī)風(fēng)險管理提出一系列改進(jìn)建議���。
一、農(nóng)村信用社合規(guī)風(fēng)險管理存在的主要問題
長期以來��,農(nóng)村信用社一直未將合規(guī)作為一個重要的風(fēng)險源來管理���,更沒有將合規(guī)風(fēng)險管理擺上應(yīng)有的重要位置����,從目前農(nóng)村信用社開展的合規(guī)建設(shè)年和風(fēng)險管理年活動情況看��,農(nóng)村信用社在合規(guī)風(fēng)險管理中存在以下問題:
1、合規(guī)風(fēng)險管理意識淡薄
根據(jù)今年以來強化合規(guī)知識教育提高案件防控力活動開展情況來看����,相當(dāng)一部分干部員工��,對合規(guī)管理還沒有充分的理解和認(rèn)知��,即使是合規(guī)部門從業(yè)人員�,對今后合規(guī)工作怎樣開展也拿捏不準(zhǔn)。一些員工特別是基層職員����,對于什么是合規(guī)�����,為什么要合規(guī)���,怎樣才能合規(guī)��,還存在模糊的��、甚至是錯誤的認(rèn)識和做法����。有的員工對當(dāng)前推行的合規(guī)教育培訓(xùn)和考試存在被動應(yīng)付的消極心理���,對合規(guī)工作極為排斥����,甚至將其與業(yè)務(wù)經(jīng)營對立起來���,將其視為一種負(fù)擔(dān)�����,害怕合規(guī)風(fēng)險管理進(jìn)行下去會影響業(yè)務(wù)經(jīng)營工作的開展。但事實上�����,由于管理層人員掌握著人力���、物力��、財力等大權(quán)�����,由其而引發(fā)的合規(guī)風(fēng)險,其危害性要遠(yuǎn)遠(yuǎn)大于執(zhí)行層操作人員����。
2、合規(guī)風(fēng)險管理機制不健全
在合規(guī)風(fēng)險管理活動中,農(nóng)村信用社開始著手建立合規(guī)風(fēng)險管理體系�����,組建了相對獨立的合規(guī)部門��,配備了合規(guī)風(fēng)險管理人員���。但從目前情況看���,農(nóng)村信用社在合規(guī)風(fēng)險管理機制上仍存在一定缺陷:一是合規(guī)管理沒有完善����、垂直的合規(guī)風(fēng)險管理體制還沒有完全形成�。大多數(shù)農(nóng)村信用社還沒有成立獨立的合規(guī)風(fēng)險管理部門來對合規(guī)風(fēng)險進(jìn)行統(tǒng)籌管理�,還沒有形成橫向到邊����、縱向到底的全面和全方位的合規(guī)風(fēng)險管理架構(gòu)。二是合規(guī)風(fēng)險管理職責(zé)分散�。
3、合規(guī)風(fēng)險管理法規(guī)制度缺乏可操作性
近年來,通過改革發(fā)展,農(nóng)村信用社在制度建設(shè)方面取得了長足進(jìn)步�����,但執(zhí)行力低下的問題使大量的制度形同虛設(shè),導(dǎo)致案件頻發(fā)�。主要原因是農(nóng)村信用社內(nèi)部缺乏一個統(tǒng)一完整���、全面科學(xué)的合規(guī)風(fēng)險管理法規(guī)制度及操作規(guī)則�����,不少制度規(guī)定有粗略化���、大致化���、模糊化現(xiàn)象,缺乏可操作性����。同時合規(guī)風(fēng)險管理的激勵約束機制不健全�����,獎勵力度較小���,懲罰措施較輕�。一般情況下�,只要沒有損失或案件��,對違規(guī)人員往往只采取教育�、經(jīng)濟處罰和限期整改等措施,很少進(jìn)行嚴(yán)厲處分,對于造成損失或釀成案件的人員�,問責(zé)也不到位。
二�、進(jìn)一步加強農(nóng)村信用社合規(guī)風(fēng)險管理的政策建議
農(nóng)村信用社合規(guī)風(fēng)險管理建設(shè)尚處于起步階段,要形成科學(xué)有效的合規(guī)管理機制仍需要一個不斷積累和完善的過程。為徹底解決以上存在問題�,促進(jìn)農(nóng)村信用社合規(guī)風(fēng)險管理活動的順利開展����,真正提高合規(guī)風(fēng)險管理水平,提出以下改進(jìn)建議:
1��、履行明確的合規(guī)管理職責(zé)
明確合規(guī)管理職責(zé)是構(gòu)建合規(guī)風(fēng)險管理運行機制的必要前提�。合規(guī)管理職責(zé)的進(jìn)一步明確,需要深入了解合規(guī)工作的特性��。一是獨立性;即合規(guī)部門須獨立于各業(yè)務(wù)條線發(fā)揮作用�。二是權(quán)威性;合規(guī)部門須在經(jīng)營管理中發(fā)揮至關(guān)重要的作用���,要向高管層提出經(jīng)營管理中的合規(guī)意見和建議。三是全面性�����;合規(guī)管理工作須滲透到各業(yè)務(wù)單元和條線,與業(yè)務(wù)管理實現(xiàn)“無縫對接”���。四是預(yù)警性�;合規(guī)部門須對外部法律法規(guī)及時反應(yīng)��,向業(yè)務(wù)部門提供信息進(jìn)行預(yù)警���。五是動態(tài)性�;合規(guī)風(fēng)險預(yù)警���、提示及對各類信息的反應(yīng)須是動態(tài)的�、實時的���。六是協(xié)調(diào)性���;合規(guī)部門與其他業(yè)務(wù)部門及內(nèi)審部門的關(guān)系應(yīng)當(dāng)是協(xié)調(diào)合作,而不是“警察與小偷”的關(guān)系�。
2��、按照“高標(biāo)準(zhǔn)、高起點”的要求��,加強合規(guī)風(fēng)險管理的統(tǒng)一協(xié)調(diào)性�。
合規(guī)風(fēng)險管理對農(nóng)村信用社來說還是一新事物�,又是一個艱巨的系統(tǒng)工程����,受人力、財力和自身創(chuàng)新能力所限��,以縣為單位的聯(lián)社很難獨立構(gòu)建起真正的合規(guī)風(fēng)險管理體系,難以發(fā)揮合規(guī)風(fēng)險管理對業(yè)務(wù)經(jīng)營的正向促進(jìn)作用���。因此���,建議農(nóng)村信用社省市級管理機構(gòu),從省市農(nóng)村信用社全局出發(fā),自上而下的集中創(chuàng)新一套全面、系統(tǒng)���、專業(yè)和統(tǒng)一的合規(guī)風(fēng)險識別����、評估���、監(jiān)測和防范體系�����,經(jīng)試點后�,在全省集中推廣�,以省或市為單位構(gòu)建起全省農(nóng)村信用社合規(guī)風(fēng)險管理體系。
3����、實施嚴(yán)格的合規(guī)管理制度建立誠信舉報機制,就是要讓那些不守規(guī)矩、不講誠信的人有一種外在的壓力�����,讓他們知道還有一雙雙眼睛盯著,促進(jìn)他們在思想上時刻牢記�����、行為上處處體現(xiàn)銀行業(yè)金融機構(gòu)最高標(biāo)準(zhǔn)的職業(yè)操守�����,把合規(guī)管理部門作為誠信舉報的重要渠道之一�,建立違規(guī)舉報機制,為內(nèi)部員工舉報違規(guī)、違法行為提供必要的渠道和途徑,并對舉報人進(jìn)行有效保護���。
4���、建設(shè)高素質(zhì)的員工隊伍���,奠定實施合規(guī)風(fēng)險管理的人力資源基礎(chǔ)在合規(guī)風(fēng)險管理中,人是合規(guī)風(fēng)險管理實踐活動的主體���,需要充分發(fā)揮積極性創(chuàng)造性主動性;同時��,人又是合規(guī)風(fēng)險管理實踐的首要對象,人的風(fēng)險是最大的風(fēng)險��,要實現(xiàn)兩者的有機統(tǒng)一,必須建立一支高素質(zhì)的風(fēng)險管理隊伍�。要廣泛深入開展合規(guī)風(fēng)險管理活動,通過開展諸如學(xué)習(xí)會�����、討論會��、征文比賽、考試測試等一系列員工樂于接受的活動形式���,廣泛深入的教育廣大員工�����,增強員工自主合規(guī)意識,培育良好合規(guī)文化�,提高員工執(zhí)行力���,確保各項法律法規(guī)規(guī)定在農(nóng)村信用社的貫徹落實。建立起一支適用于合規(guī)合規(guī)風(fēng)險管理的專業(yè)化人才團隊��,切實提高農(nóng)村信用社合規(guī)風(fēng)險管理水平,促進(jìn)業(yè)務(wù)經(jīng)營的健康發(fā)展��。5��、營造健康有序的合規(guī)風(fēng)險文化氛圍
營造健康有序的合規(guī)文化氛圍是合規(guī)風(fēng)險管理最難以把握,但卻能深深影響銀行每位員工合規(guī)意識的工作���。要樹立主動合規(guī)的合規(guī)文化�����,倡導(dǎo)主動發(fā)現(xiàn)和暴露合規(guī)風(fēng)險隱患或問題���,并相應(yīng)地在業(yè)務(wù)政策、行為手冊和操作程序上進(jìn)行適當(dāng)?shù)母倪M(jìn)����。過去那種“以習(xí)慣代替制度�,以情面代替處罰”的舊的文化一定要加以摒棄��,取而代之的正應(yīng)當(dāng)是主動合規(guī)�、自覺合規(guī)��、上下合規(guī)�����、內(nèi)外合規(guī)的全面合規(guī)時代的到來���。
擴展閱讀:農(nóng)村信用社信息科技風(fēng)險管理存在的問題及建議
基層農(nóng)村信用社信息科技風(fēng)險管理
存在的問題及建議
隨著農(nóng)信社信息化的發(fā)展,信息科技的作用已從業(yè)務(wù)支持逐步走向與業(yè)務(wù)的融合�����,并成為農(nóng)信社穩(wěn)健運營和發(fā)展的支柱,然而���,對于信息科技風(fēng)險管控尚處于起步階段����,如何最大限度地防范信息科技風(fēng)險,充分享受信息科技帶來的便捷和效率���,已成為當(dāng)前我們必須認(rèn)真研究的一個重要課題,信息科技風(fēng)險防范工作亟待加強�。為此�,近期臨夏銀監(jiān)分局深入轄內(nèi)信用社����,了解信息科技風(fēng)險管理情況��,掌握信息科技風(fēng)險管理水平��,督促其建立有效的信息科技風(fēng)險管理機制,增強信息科技風(fēng)險的控制能力。
一���、當(dāng)前農(nóng)村信用社信息科技風(fēng)險管理存在的主要問題信息科技����,是指商業(yè)銀行采用計算機���、通信�����、微電子和軟件工程等現(xiàn)代信息技術(shù)��,在業(yè)務(wù)交易處理�、經(jīng)營管理和內(nèi)部控制等方面的應(yīng)用,并包括專項治理��、建立完整的管理組織架構(gòu)、制定完善的管理策略和制度。信息科技風(fēng)險����,是指信息科技在商業(yè)銀行運用過程中����,由于自然因素�����、人為因素����、技術(shù)漏洞和管理缺陷產(chǎn)生的操作���、法律和聲譽等風(fēng)險�。由于近年來農(nóng)村信用社各項業(yè)務(wù)快速發(fā)展����,信息化水平的不斷提高,新設(shè)備��、新技術(shù)��、新程序的大量應(yīng)用�����,信息科技風(fēng)險防范工作亦面臨著新的形勢����、新的情況和新的問題,呈現(xiàn)出多元發(fā)展的趨勢其風(fēng)險范疇也從單一的技術(shù)領(lǐng)域延伸至投資�����、經(jīng)營����、管理的各個層面。
(一)信息科技治理管理架構(gòu)存在缺陷���。
一是思想認(rèn)識不到位�。目前����,基層農(nóng)信聯(lián)社管理層普遍存在著重視信息科技建設(shè)�����、輕信息科技管理���,重信息科技建設(shè)的檔次提升�����、輕信息科技風(fēng)險防范�����,重眼前業(yè)務(wù)發(fā)展����、輕長期信息科技發(fā)規(guī)劃等問題,缺乏對信息科技的關(guān)注和統(tǒng)籌安排����,對信息科技的風(fēng)險了解不多,信息科技工作的實際地位在基層信用社是“說起來重要���、做起來急著要����,排起隊來次要,出了問題什么都不要”�����,信息科技風(fēng)險管理相對薄弱�����。二是制度制定�、執(zhí)行不到位。信用社制訂的信息科技制度分散于其他管理制度中�����,不具系統(tǒng)性����,且操作性也不強,沒有形成一整套完善有效的信息科技風(fēng)險管理制度���。即便是制定了一些制度���,但落實不到位����,制度的約束性形同虛設(shè)���。
(二)機制保障及應(yīng)急預(yù)案有待完善�����。
農(nóng)信社網(wǎng)點機構(gòu)的應(yīng)急預(yù)案僅停留在形式上。盡管各社制定了系統(tǒng)應(yīng)急預(yù)案���,但仍有部分社從未進(jìn)行過應(yīng)急演練�����,也沒有進(jìn)行過壓力測試���,并不能保證及時處事故或緊急事件;部分社應(yīng)急預(yù)案涵蓋面過大,缺乏針對性和操作性�,影響應(yīng)急預(yù)案的實效部分信用社業(yè)務(wù)連續(xù)性缺乏有效技術(shù)支持,且涵蓋范圍小�����,大部分局限在網(wǎng)絡(luò)及數(shù)據(jù)的備份層次。此外�����,多數(shù)沒有成立業(yè)務(wù)連續(xù)性管理委員會一類的領(lǐng)導(dǎo)組織�����,在發(fā)生業(yè)務(wù)連續(xù)性風(fēng)險時�,統(tǒng)一指揮、協(xié)調(diào)存在一定困難���。重要信息系統(tǒng)的應(yīng)急預(yù)案多數(shù)缺乏實踐性檢驗�����,其可行性和可操作性不能得到有效保證�����。對于已制定的應(yīng)急預(yù)案�����,沒有覆蓋全部信息系統(tǒng)�、關(guān)鍵設(shè)施及相關(guān)業(yè)務(wù)保障部門,沒有詳細(xì)的操作方法和步驟���,可操作性不強����,影響應(yīng)急預(yù)案的實效���。
(三)信息科技人員力量薄弱��。
一是科技力量相對薄弱��。信息科技管理部門人員配備不足,科技人員數(shù)量與轄內(nèi)網(wǎng)點數(shù)量嚴(yán)重不匹配�����,由此造成系統(tǒng)開發(fā)���、技術(shù)支持��、系統(tǒng)操作維護和系統(tǒng)安全崗位交叉����,往往身兼數(shù)崗,關(guān)鍵崗位A�����、B角制度難以落實;技術(shù)支持崗位未能實現(xiàn)崗位定期輪換���,缺乏專門的技術(shù)風(fēng)險管理部門或崗位進(jìn)行有效的監(jiān)督約束�,不能有效識別并量化可能存在的信息科技風(fēng)險因素����。
三是科技人員知識水平不高。大部分機構(gòu)普遍存在缺乏專業(yè)高素質(zhì)人員�,而且隨著信息化知識的更新步伐,科技隊伍工作人員的學(xué)習(xí)培訓(xùn)跟不上知識更新步伐�����,參加信息科技風(fēng)險培訓(xùn)較少��,缺少完整�、系統(tǒng)的信息科技風(fēng)險的概念和相關(guān)知識,對自身運營的業(yè)務(wù)系統(tǒng)��、機房管理等實體系統(tǒng)認(rèn)識較深,對信息科技項目開發(fā)和變更管理情況�、業(yè)務(wù)持續(xù)性計劃等認(rèn)識較為膚淺,部分人員甚至在信息科技風(fēng)險就是保證業(yè)務(wù)系統(tǒng)正常運轉(zhuǎn)的錯誤觀念���,極易忽視了自身各級系統(tǒng)的漏洞和隱患排查��、除險���,在認(rèn)知上存在著對風(fēng)險防范的盲區(qū)和誤區(qū)。
四是一線操作人員風(fēng)險意識淡薄����。信息科技風(fēng)險需要全員參與,上至高層領(lǐng)導(dǎo)的決策�����,下至每位臨柜人員都是風(fēng)險的防范者��,但目前在一線操作人員中��,尚未形成人人有責(zé)的共識����,廣大員工對信息安全的重要性若罔聞。
由于科技部門在農(nóng)村信用社屬于服務(wù)部門����,部分高管層認(rèn)為,科技部門只要能夠保證設(shè)備及網(wǎng)絡(luò)的正常運轉(zhuǎn)�,不出問題就可以。這一認(rèn)識誤區(qū)造成了科技部門的人員配備���、機構(gòu)設(shè)上相對其他部門處于弱勢地位���。例如:永靖縣農(nóng)村信用合作聯(lián)社信息科技人員只有一名,基層社沒有信息科技人員�。他除了進(jìn)行日常綜合業(yè)務(wù)系統(tǒng)維護外,往往還要身兼數(shù)崗���,關(guān)鍵崗位輪換���、強制休假等制度難以落實,不能適應(yīng)當(dāng)前業(yè)務(wù)拓展與IT水平同步發(fā)展的需要���。以此來看�,農(nóng)村信用社信息科技人員的配備與當(dāng)前信息系統(tǒng)的高速發(fā)展不相匹配��,這些都是容易導(dǎo)致信息科技風(fēng)險發(fā)生的重大隱患。
(四)系統(tǒng)硬件建設(shè)存在安全隱患���。一是機房管理有待加強�����。機房的防火和供電等方面達(dá)不到要求�,機房沒有設(shè)防雷系統(tǒng)����,監(jiān)控存在盲區(qū)、不設(shè)門禁系統(tǒng)�����;基層社對電子設(shè)備缺乏保養(yǎng)��,大大影響使用效果和使用壽命�����,存在一定的技術(shù)風(fēng)險��。二是網(wǎng)絡(luò)運行安全有待提高�����。省聯(lián)社數(shù)據(jù)大集中后���,基層農(nóng)信社����、縣級聯(lián)社到省聯(lián)社的網(wǎng)絡(luò)穩(wěn)定性和通暢性極為重要�,而其主、備通訊線路違反要求使用電信一家通訊公司線路���,一旦一個網(wǎng)點出現(xiàn)問題���,工作就會受到影響,存在潛在的聲譽風(fēng)險��。
二��、加強信息科技風(fēng)險管理的對策建議
(一)提高思想認(rèn)識��,加大科技投入�。信息科技工作是當(dāng)前金融機構(gòu)經(jīng)營與監(jiān)管的重要基礎(chǔ)和技術(shù)保障,必須充分認(rèn)識信息科技工作在金融業(yè)監(jiān)管中的重要作用�,切實加強對信息科技風(fēng)險監(jiān)管工作的組織領(lǐng)導(dǎo)��。農(nóng)村信用合作聯(lián)社要提高思想認(rèn)識�����,深刻理解信息科技風(fēng)險管理的重要性���,將信息科技風(fēng)險管理納入到全面風(fēng)險管理之中。另外��,還要根據(jù)現(xiàn)場檢查發(fā)現(xiàn)的信息科技風(fēng)險點���,加大信息科技建設(shè)投入���,積極整改,對設(shè)備老化�、硬件設(shè)備不足等風(fēng)險點要積極加以改進(jìn),及時消除信息科技系統(tǒng)中存在的各種風(fēng)險和隱患��,確保各項服務(wù)安全連續(xù)進(jìn)行�����。
(二)完善應(yīng)急預(yù)案�����,加強應(yīng)急演練����,提高系統(tǒng)響應(yīng)能力。一是應(yīng)定期�、不定期開展信息科技人員應(yīng)急管理培訓(xùn),并根據(jù)自身規(guī)模�、復(fù)雜程度及風(fēng)險發(fā)生部位、概率和危害程度��,及時組織信息科技應(yīng)急預(yù)案演練��,并不斷修改完善應(yīng)急預(yù)案內(nèi)容�����,提高對各類突發(fā)事件的處能力����。二是要高度重視,切實加強信息系統(tǒng)業(yè)務(wù)連續(xù)性管理�,增強信息科技應(yīng)急處能力。要嚴(yán)格按照《突發(fā)事件應(yīng)對法》�����、《國家金融突發(fā)事件應(yīng)急預(yù)案》等法律法規(guī)要求,結(jié)合自身實際����,加快應(yīng)急體系建設(shè),加強業(yè)務(wù)持續(xù)性應(yīng)急演練�。三是進(jìn)一步完善應(yīng)急演練方案,切實提高應(yīng)急水平和能力���。要做到責(zé)任明確�、流程明確�����、預(yù)案明確���、報告明確�、聯(lián)絡(luò)明確�����,制定切實可行、要件完備的應(yīng)急方案����。同時要加大應(yīng)急方案的演練,熟練掌握各種應(yīng)急手段����,提高抗風(fēng)險能力和突發(fā)事件應(yīng)對能力��,不斷完善信息系統(tǒng)安全運行體系���。
(三)充實科技監(jiān)管隊伍���,加強內(nèi)控管理。要采取切實措施����,大量引進(jìn)信息科技專業(yè)人員,加大信息科技人才培訓(xùn)力度����,按照銀監(jiān)會《商業(yè)銀行信息科技風(fēng)險管理指引》的要求,充實信息科技審計力量�,完善管理制度,嚴(yán)格按照管理、運行�����、維護等崗位配備人員����,關(guān)鍵崗位必須配備AB角,真正做到人員控制��、制度控制���、系統(tǒng)控制三到位����。要加強要害崗位管理��,計算機業(yè)務(wù)數(shù)據(jù)錄入員��、系統(tǒng)管理員之間����,應(yīng)按照權(quán)力、責(zé)任范圍實行嚴(yán)格的限制���,相互制約����、互相監(jiān)督,嚴(yán)禁系統(tǒng)管理人員�、網(wǎng)絡(luò)技術(shù)人員和前臺操作人員混崗、代崗或一人多崗����。同時要制定信息科技風(fēng)險審計辦法,定期對信息科技風(fēng)險狀況進(jìn)行審計評價�����,督促建立技術(shù)安全保障體系��。要加大信息科技安全檢查力度����,定期和不定期進(jìn)行安全檢查�,及時糾正問題和消除隱患。
(四)改善運行環(huán)境����,加強信息科技風(fēng)險培訓(xùn)。一是要采取有效措施,改善機房的供電系統(tǒng)和消防安全狀況����,按照機房建設(shè)要求增加防雷系統(tǒng),更新核心業(yè)務(wù)系統(tǒng)設(shè)備��,保證核心業(yè)務(wù)系統(tǒng)雙機熱備不間斷工作����;要完善運行值班制度,保證對核心業(yè)務(wù)系統(tǒng)及網(wǎng)絡(luò)運行狀況的有效監(jiān)控�����,針對故障進(jìn)行有效的預(yù)測和報警��。二是要加大對信息科技風(fēng)險的培訓(xùn)力度��,建議抽調(diào)一些業(yè)務(wù)骨干進(jìn)行專門的信息科技培訓(xùn)����,通過對信息科技的專項培訓(xùn),培養(yǎng)一批專門從事信息科技工作的干部��,保障信息系統(tǒng)的安全�、穩(wěn)健運行����。
隨著農(nóng)信社信息化的發(fā)展,信息科技的作用已從業(yè)務(wù)支持逐步走向與業(yè)務(wù)的融合�����,并成為農(nóng)信社穩(wěn)健運營和發(fā)展的支柱�����,然而�,對于信息科技風(fēng)險管控尚處于起步階段,如何最大限度地防范信息科技風(fēng)險���,充分享受信息科技帶來的便捷和效率�,已成為當(dāng)前我們必須認(rèn)真研究的一個重要課題�,信息科技風(fēng)險防范工作亟待加強���。
一���、當(dāng)前信息科技風(fēng)險防范工作中存在的主要問題信息科技,是指商業(yè)銀行采用計算機�����、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)�����,在業(yè)務(wù)交易處理��、經(jīng)營管理和內(nèi)部控制等方面的應(yīng)用���,并包括專項治理��、建立完整的管理組織架構(gòu)����、制定完善的管理策略和制度�。信息科技風(fēng)險,是指信息科技在商業(yè)銀行運用過程中���,由于自然因素����、人為因素���、技術(shù)漏洞和管理缺陷產(chǎn)生的操作����、法律和聲譽等風(fēng)險。由于近年來農(nóng)村信用社各項業(yè)務(wù)快速發(fā)展�����,信息化水平的不斷提高��,新設(shè)備����、新技術(shù)、新程序的大量應(yīng)用�,信息科技風(fēng)險防范工作亦面臨著新的形勢、新的情況和新的問題�����,呈現(xiàn)出多元發(fā)展的趨勢其風(fēng)險范疇也從單一的技術(shù)領(lǐng)域延伸至投資����、經(jīng)營�����、管理的各個層面。
(一)對信息科技風(fēng)險認(rèn)識不到位
一是思想認(rèn)識不到位�。目前,基層農(nóng)信聯(lián)社管理層普遍存在著重視信息科技建設(shè)���、輕信息科技管理����,重信息科技建設(shè)的檔次提升����、輕信息科技風(fēng)險防范,重眼前業(yè)務(wù)發(fā)展��、輕長期信息科技發(fā)規(guī)劃等問題���,缺乏對信息科技的關(guān)注和統(tǒng)籌安排����,對信息科技的風(fēng)險了解不多���,信息科技工作的實際地位在基層信用社是“說起來重要����、做起來急著要,排起隊來次要��,出了問題什么都不要”����,信息科技風(fēng)險管理相對薄弱。
二是科技力量相對薄弱����。信息科技管理部門人員配備不足,科技人員數(shù)量與轄內(nèi)網(wǎng)點數(shù)量嚴(yán)重不匹配���,由此造成系統(tǒng)開發(fā)����、技術(shù)支持���、系統(tǒng)操作維護和系統(tǒng)安全崗位交叉����,往往身兼數(shù)崗��,關(guān)鍵崗位A����、B角制度難以落實;技術(shù)支持崗位未能實現(xiàn)崗位定期輪換,缺乏專門的技術(shù)風(fēng)險管理部門或崗位進(jìn)行有效的監(jiān)督約束�����,不能有效識別并量化可能存在的信息科技風(fēng)險因素�。
三是科技人員知識水平不高。大部分機構(gòu)普遍存在缺乏專業(yè)高素質(zhì)人員�,而且隨著信息化知識的更新步伐,科技隊伍工作人員的學(xué)習(xí)培訓(xùn)跟不上知識更新步伐����,參加信息科技風(fēng)險培訓(xùn)較少,缺少完整���、系統(tǒng)的信息科技風(fēng)險的概念和相關(guān)知識��,對自身運營的業(yè)務(wù)系統(tǒng)�、機房管理等實體系統(tǒng)認(rèn)識較深��,對信息科技項目開發(fā)和變更管理情況、業(yè)務(wù)持續(xù)性計劃等認(rèn)識較為膚淺�,部分人員甚至在信息科技風(fēng)險就是保證業(yè)務(wù)系統(tǒng)正常運轉(zhuǎn)的錯誤觀念,極易忽視了自身各級系統(tǒng)的漏洞和隱患排查�、除險,在認(rèn)知上存在著對風(fēng)險防范的盲區(qū)和誤區(qū)���。
四是一線操作人員風(fēng)險意識淡薄��。信息科技風(fēng)險需要全員參與��,上至高層領(lǐng)導(dǎo)的決策�,下至每位臨柜人員都是風(fēng)險的防范者��,但目前在一線操作人員中���,尚未形成人人有責(zé)的共識�����,廣大員工對信息安全的重要性若罔聞�����。
(二)信息科技風(fēng)險管理制度不到位
一是管控體系不完善���。雖然農(nóng)村合作金融機構(gòu)均成立了信息安全領(lǐng)導(dǎo)小組����,但多數(shù)未真正實施起信息科技風(fēng)險管理的領(lǐng)導(dǎo)決策職責(zé)�����,信息科技風(fēng)險管控目標(biāo)尚未確立����,主要表現(xiàn)在多數(shù)農(nóng)信社的理事會未制定信息科技發(fā)展的長遠(yuǎn)規(guī)劃或發(fā)展策略��,僅在每年股東大會或理事會季度例會上對信息科技設(shè)備的購作簡要的說明�����,信息科技風(fēng)險防范的目標(biāo)幾乎沒有涉及�。
二是管控制度不系統(tǒng)。部分基層聯(lián)社沒有制定專門的科技風(fēng)險管理制度���,有制度的又大多分散于其他管理制度中����,不具有系統(tǒng)性,且操作性也不強���,缺乏具體的識別���、監(jiān)測和控制風(fēng)險的措施。
三是制度執(zhí)行不到位���。很多單位不能嚴(yán)格執(zhí)行相關(guān)計算機應(yīng)用管理制度和中心機房管理規(guī)定;有的對信息系統(tǒng)運行保障工作重視不夠�,未建立健全信息系統(tǒng)運行巡查制度����,無法及時發(fā)現(xiàn)機房、主機��、數(shù)據(jù)庫等系統(tǒng)運行的異常情況及故障;有的對機房運行日志未按規(guī)定進(jìn)行登記���,文檔不完整;部分新型設(shè)備購買后未及時更新相關(guān)的管理制度��,制度沒有隨著信息資產(chǎn)的升級而更新����,不能起到防范風(fēng)險的作用;在基層網(wǎng)點操作人員未按制度進(jìn)行授權(quán)操作�,未按流程進(jìn)行業(yè)務(wù)辦理���,制度人為地架空。
(三)信息科技風(fēng)險管控不到位
一是風(fēng)險管控操作不規(guī)范���。目前基層一線大部分操作人員防范科技風(fēng)險意識淡薄���,安全認(rèn)證和訪問控制防范意識差�����,存在樸素地感情信任�,出現(xiàn)違規(guī)上崗、共用柜員號����、一人多號、不按規(guī)定更改密碼��、密碼設(shè)簡單���、系統(tǒng)自錄登錄等問題;在授權(quán)管理上�,存在交叉授權(quán)����、授權(quán)未審核業(yè)務(wù)等問題����,存在較大的風(fēng)險隱患��。而新注入的新生人員力量在大環(huán)境的影響下也未能嚴(yán)格按照制度執(zhí)行���,致使人為操作風(fēng)險不能從根本上扭轉(zhuǎn)���。
二是風(fēng)險管控職能不健全。農(nóng)信社均設(shè)了風(fēng)險管理部門���,但基本上僅履行管控資產(chǎn)���、負(fù)債類業(yè)務(wù)風(fēng)險的職能,并未涵蓋信息科技風(fēng)險�����?萍硷L(fēng)險管理工作主要由科技部門負(fù)責(zé)���,而科技部門是信息系統(tǒng)的建設(shè)者和維護者�����,由其承擔(dān)科技風(fēng)險管理職能�,缺少必要的技術(shù)人員和有效手段�����,內(nèi)部審計不能形成有效的制衡機制�。
三是外部制約控制不到位。轄內(nèi)所有法人機構(gòu)及營業(yè)網(wǎng)點均未接受有關(guān)信息科技風(fēng)險的外部評估��,各級機構(gòu)向監(jiān)管部門提供的審計檢查報告多是在信息科技人員自我評價的基礎(chǔ)上形成的�,這種“既當(dāng)運動員又當(dāng)裁判員”的評估���,易給農(nóng)信社帶來信息科技審計制約風(fēng)險�。
四是科技信息衍生品風(fēng)險管理不到位�。隨著銀行卡業(yè)務(wù)的迅速擴張和競爭的日趨激烈,有關(guān)銀行卡方面的投訴����、糾紛、案件頻發(fā)�,銀行卡業(yè)務(wù)風(fēng)險處于多發(fā)���、高發(fā)期。銀行卡業(yè)務(wù)主要風(fēng)險包括:通過ATM機取現(xiàn)���、POS機套現(xiàn)(消費)或網(wǎng)絡(luò)(電話)轉(zhuǎn)賬等形式而發(fā)生的外部欺詐風(fēng)險;特約商戶非法交易或違章操作引起持卡人或發(fā)卡機構(gòu)資金損失的中介機構(gòu)職務(wù)之便與不法分子勾結(jié)��、串通作案造成的內(nèi)部操作風(fēng)險��。這些風(fēng)險不僅對客戶及銀行的資金安全造成威脅���,對銀行的聲譽也造成了嚴(yán)重影響。
(四)系統(tǒng)性管理不到位
一是科技硬件基礎(chǔ)設(shè)施薄弱����。目前,農(nóng)信社機房的建設(shè)不達(dá)標(biāo)���,個別聯(lián)社的機房簡陋��,甚至未達(dá)到國家機房建設(shè)的最低C級標(biāo)準(zhǔn)���,已建成的新機房也因前期協(xié)調(diào)、資金等問題�����,存在漏洞,部分聯(lián)社的機房防雷�����、消防等設(shè)施均未配備�����,一旦發(fā)生機房失火或雷擊等突發(fā)性事故��,核心業(yè)務(wù)系統(tǒng)或網(wǎng)絡(luò)中樞將遭受損害;對于網(wǎng)絡(luò)運行環(huán)境而言�����,數(shù)據(jù)大集中和前機后移���,都需要極穩(wěn)定的網(wǎng)絡(luò)環(huán)境支撐,從鄉(xiāng)鎮(zhèn)到縣中心機房�����,再到市����、省中心��,任何環(huán)節(jié)網(wǎng)絡(luò)不暢都會導(dǎo)致業(yè)務(wù)的中斷��,農(nóng)信社核心網(wǎng)絡(luò)設(shè)備使用期限已達(dá)7年���,且基層農(nóng)信社也沒購備用網(wǎng)絡(luò)設(shè)備,一旦設(shè)備損壞�����,極易造成業(yè)務(wù)中斷;現(xiàn)在農(nóng)信社均實行了內(nèi)���、外網(wǎng)絡(luò)的物理隔離���,但對移動設(shè)備的管理缺乏有效的制約手段,極易導(dǎo)致外網(wǎng)病毒通過移動設(shè)備傳播和感染到內(nèi)網(wǎng)未打補丁包的windows類操作系統(tǒng)��,這導(dǎo)致內(nèi)網(wǎng)帶寬被侵占����,從而影響業(yè)務(wù)系統(tǒng)的運行。
二是系統(tǒng)軟件設(shè)計存在缺陷。目前����,農(nóng)信社使用的IT系統(tǒng)的核心為綜合業(yè)務(wù)系統(tǒng)和信貸管理系統(tǒng),是由省中心開發(fā)的�,基本能滿足業(yè)務(wù)操作的需要,但這些系統(tǒng)風(fēng)險管控功能��、報表分析功能不強����。如:綜合業(yè)務(wù)管理平臺的事后補救措施和升級在逐步開展,系統(tǒng)變更與投產(chǎn)過于頻繁��,增大了開發(fā)與維護人員工作壓力��,也影響了前臺業(yè)務(wù)質(zhì)量;信貸業(yè)務(wù)管理系統(tǒng)在設(shè)計時未能考慮銀監(jiān)部門信貸風(fēng)險控制的基本要求�,沒有設(shè)貸款集中度風(fēng)險、集團授信風(fēng)險等風(fēng)險提示模塊�����,從而導(dǎo)致系統(tǒng)無法適時提示上述風(fēng)險;業(yè)務(wù)流程控制缺陷較多��,部分信貸業(yè)務(wù)辦理不受信貸管理系統(tǒng)控制�����,信貸管理系統(tǒng)對貼現(xiàn)科目控制存在漏洞���,貼現(xiàn)科目無需信貸管理系統(tǒng)授權(quán)����,通過綜合業(yè)務(wù)系統(tǒng)的會計前臺即可辦理該項業(yè)務(wù)�����,既無制約功能����,也不能信息共享等問題。
三是應(yīng)急預(yù)案不完善��。農(nóng)新社網(wǎng)點機構(gòu)的應(yīng)急預(yù)案僅停留在形式上�����。盡管各社制定了系統(tǒng)應(yīng)急預(yù)案�,但仍有部分社從未進(jìn)行過應(yīng)急演練,也沒有進(jìn)行過壓力測試����,并不能保證及時處事故或緊急事件;部分社應(yīng)急預(yù)案涵蓋面過大����,缺乏針對性和操作性�����,影響應(yīng)急預(yù)案的實效��。
二�、加強農(nóng)信社科技信息風(fēng)險防控的對策和建議農(nóng)信社應(yīng)按照《商業(yè)銀行信息科技風(fēng)險管理指引》要求,從業(yè)務(wù)需求出發(fā)�����,加強信息科技風(fēng)險管控��,從“要我做”變?yōu)椤拔乙觥�����,做到事前有預(yù)防����、事中有控制和事后有檢查�����,將技術(shù)防范為主的被動信息安全工作,轉(zhuǎn)變?yōu)橐灶A(yù)防為主的主動信息科技風(fēng)險管控�。
(一)加強信息科技風(fēng)險防范的組織領(lǐng)導(dǎo)和隊伍建設(shè)一是各級領(lǐng)導(dǎo)要站在維護社會秩序和促進(jìn)農(nóng)信社發(fā)展的高度,充分認(rèn)識信息科技安全的緊迫性和重要性�����,要看到農(nóng)信社的現(xiàn)狀和未來�,要看到近幾年農(nóng)信社信息化得迅速發(fā)展和展望未來的廣大前景,要充分認(rèn)識IT價值����,要明確信息科技風(fēng)險管理目標(biāo),要將信息科技風(fēng)險納入自身的總體風(fēng)險框架���,聯(lián)社理事長作為信息科技風(fēng)險的第一責(zé)任人�,負(fù)責(zé)組織貫徹落實�。
二是完善信息科技風(fēng)險管理機制。要處理好業(yè)務(wù)發(fā)展與信息科技風(fēng)險防范之間的關(guān)系���,建立全系統(tǒng)自上而下的信息科技風(fēng)險管理體系��,實現(xiàn)對信息科技風(fēng)險的識別�、計量、監(jiān)測和控制��,嚴(yán)格落實相關(guān)責(zé)任制和事故追究責(zé)任制�,積極采取措施消除信息科技風(fēng)險重大隱患,推動業(yè)務(wù)創(chuàng)新���,提高信息技術(shù)使用水平�����,增強核心競爭力和可持續(xù)發(fā)展能力�����。
三是建立相應(yīng)的激勵和約束機制����,打造一支穩(wěn)定���、團結(jié)����、高效的科技隊伍。首先�����,要加強職業(yè)道德和法律法規(guī)教育���,提高科技隊伍的思想政治素質(zhì),嚴(yán)格要害崗位人員的審查���,從思想上筑起一道防范信息科技風(fēng)險的“防火墻”;其次����,要實施科技人員梯隊管理�。要將全市科技人員按照管理人員、計算機安全管理員��、計算機操作人員進(jìn)行分類管理����,按照市、縣兩級組織實施級別管理���,市級以縣級聯(lián)社管理人員為管控重點����,縣級聯(lián)社以計算機安全管理員為重點管理對象,計算機安全管理員重點保障基層操作人員的正常業(yè)務(wù)操作���,現(xiàn)從上到下�����、從市到縣���、從機關(guān)到網(wǎng)點的逐級有序管理,使科技工作風(fēng)險管控的觸角延伸到每一個網(wǎng)點�����,到每一項業(yè)務(wù)的正常開展����。
四是要建立相應(yīng)的激勵機制。要從“業(yè)務(wù)發(fā)展�����,科技為先”的戰(zhàn)略高度上認(rèn)識,建立科學(xué)合理的薪酬激勵機制��,在物質(zhì)待遇上給予保證�����,建立科學(xué)的短期�、中期、長期的崗位目標(biāo)�����,才能起到激勵作用�,使從事科技特殊崗位的人員在心理上得到平衡�����。
(二)加強信息科技風(fēng)險防范的制度建設(shè)和執(zhí)行
是整合和健全信息科技風(fēng)險管理制度��。按照新《指引》要求���,對可能出現(xiàn)的管理漏洞等問題�,查缺補漏���,調(diào)整優(yōu)化��,嚴(yán)格評估信息安全內(nèi)控體系的完整性和實施的有效性�,對科技風(fēng)險管理制度和操作規(guī)程進(jìn)行梳理和歸類,堵塞漏洞���,使其具有系統(tǒng)性和可操作性����。
二是加大科技投入����,采用先進(jìn)技術(shù)防范措施,保證制度的貫徹執(zhí)行�����。要積極推廣應(yīng)用指紋認(rèn)證系統(tǒng)���,建立有效的管理用戶認(rèn)證和訪問控制機制�����,使用戶對數(shù)據(jù)和系統(tǒng)訪問必須選擇與信息訪問級別相匹配的認(rèn)證機制����,確保密匙使用安全;要通過風(fēng)險預(yù)警和客戶評價系統(tǒng),提高技術(shù)防范手段���,加強后臺監(jiān)督��,嚴(yán)格控制操作風(fēng)險;要通過改善門禁系統(tǒng)��、防雷��、消防等硬件設(shè)施����,發(fā)展和使用計算機加密技術(shù)�、訪問控制技術(shù)���、“防火墻”技術(shù)���、病毒防治技術(shù)和監(jiān)控技術(shù),筑起多道計算機安全防范屏障�����,以科技技術(shù)保障制度的落實。三是加強員工培訓(xùn)學(xué)習(xí)����,強化防范操作風(fēng)險執(zhí)行力度。要強化信息安全思想教育���,強調(diào)科技風(fēng)險防范人人有責(zé)���,安全性和便利性要由大家形成共識的折中,每個人都要承擔(dān)安全責(zé)任;要重點抓好網(wǎng)點一線臨柜人員計算機知識的普及和定期輪訓(xùn)培訓(xùn)工作����,嚴(yán)格落實上崗資格考試、崗位輪換和強制休假制度;要對業(yè)務(wù)操作人員按照權(quán)限�����、責(zé)任范圍實行嚴(yán)格的限制���,相互制約�、互相監(jiān)督���,防止權(quán)限過于集中�,避免出現(xiàn)管理空檔;科技工作人員要以高度的責(zé)任心和使命感,腳踏實地的工作態(tài)度���,立足崗位����,做好本職工作����,不斷更新現(xiàn)有知識架構(gòu),積極學(xué)習(xí)新業(yè)務(wù)���、新知識�,全面提高自身素養(yǎng)�����,為更好地做好科技工作夯實基礎(chǔ)�。
(三)加強信息科技風(fēng)險防范的審計檢查和監(jiān)督
一是要探索信息科技風(fēng)險監(jiān)測手段�。積極探索信息系統(tǒng)風(fēng)險識別、監(jiān)測和控制的技術(shù)和手段�����,及時發(fā)現(xiàn)信息系統(tǒng)的風(fēng)險,并進(jìn)行整改和補救���。目前�,市中心在機房斷電�、柜員簽退等方面開發(fā)了短信監(jiān)控平臺、柜員簽退實時監(jiān)控系統(tǒng)��,在這方面做出了有益地探索�。
二是加強科技信息風(fēng)險現(xiàn)場檢查,及時糾正問題和消除隱患。要著手開發(fā)信息系統(tǒng)的現(xiàn)場檢查程序��,建立檢查制度���,綜合運用數(shù)據(jù)檢查����、情景模擬或聯(lián)網(wǎng)檢查的手段�,及時查找和發(fā)現(xiàn)信息系統(tǒng)的問題和不足。三是要加強外部審計監(jiān)督����。建立信息科技風(fēng)險管理交流平臺,對信息系統(tǒng)的研發(fā)����、運行及退出的全過程進(jìn)行審計�����,對可能發(fā)生的信息科技安全事故進(jìn)行調(diào)查���、分析和評估,及時識別����、監(jiān)測和防范信息科技風(fēng)險。同時�����,與人民銀行����、銀監(jiān)部門協(xié)調(diào)溝通,加強資源集成��,提高信息科技風(fēng)險監(jiān)管合力��,定期對信息科技系統(tǒng)全面性���、安全性�、完整性和可靠性進(jìn)行審計和評價�����,全面��、深入地反映信息系統(tǒng)的整體狀況和主要風(fēng)險���,查找漏洞����,確定相應(yīng)的整改措施�。也可適時引入社會力量,委托外部IT審計部門開展信息系統(tǒng)的外部評價和審計���,促進(jìn)信息系統(tǒng)自身和相關(guān)管理水平的提高��。
(四)加強信息科技風(fēng)險防范的重點環(huán)節(jié)
一是要提高信息系統(tǒng)運行保障能力��。要加大科技軟硬件設(shè)施投入���,消除單點故障隱患���,要了解掌握各類業(yè)務(wù)系統(tǒng)、信息化建設(shè)����、安全管理、消防等多方位���、全方面的知識����,按照標(biāo)準(zhǔn)化要求實施信息化建設(shè)����,正在建設(shè)機房的縣級聯(lián)社要科學(xué)、合理地進(jìn)行機房建設(shè)施工���,機房不達(dá)標(biāo)的縣級聯(lián)社要逐步進(jìn)行設(shè)備設(shè)施更新改造���,夯實信息科技風(fēng)險防范的基礎(chǔ)。
二是完善信息系統(tǒng)安全運行體系�����。設(shè)立信息科技風(fēng)險管理崗位,嚴(yán)格執(zhí)行開發(fā)��、運行���、維護等崗位分離及關(guān)鍵崗位的A、B角配備;要做好生產(chǎn)系統(tǒng)維護和保護工作�,尤其是要加強前機、路由器和交換機的檢查���,注重外網(wǎng)的安全性����,嚴(yán)禁傳輸敏感數(shù)據(jù)���,非敏感數(shù)據(jù)通過互聯(lián)網(wǎng)傳輸�����,要嚴(yán)防黑客攻擊���,要做好應(yīng)對網(wǎng)絡(luò)攻擊相關(guān)準(zhǔn)備和實時監(jiān)測工作;對機房、網(wǎng)絡(luò)設(shè)備、主機設(shè)備����、網(wǎng)絡(luò)及數(shù)據(jù)訪問、科技人員操作風(fēng)險等方面進(jìn)行全面安全評估�����。
三是加強業(yè)務(wù)系統(tǒng)風(fēng)險管控�。對由于IT系統(tǒng)的缺陷和不足,省中心正在逐步進(jìn)行改進(jìn)和升級��,各級科技管理部門要認(rèn)真配合組織實施�����,對于系統(tǒng)問題引發(fā)的問題以及錯誤�,要總結(jié)教訓(xùn)并認(rèn)真整改,做到人員控制�����、制度控制�����、系統(tǒng)控制三到位。
四是要加強溝通��,做好應(yīng)急處理�����。要進(jìn)一步加強與監(jiān)管部門��、人民銀行�����、電信運營商以及設(shè)備廠商等外部單位之間的溝通協(xié)調(diào)��,確保信息系統(tǒng)事件發(fā)生時外部協(xié)作的及時有效�。制定應(yīng)急預(yù)案并定期組織演練�����,從應(yīng)急響應(yīng)�、應(yīng)急決策、應(yīng)急預(yù)案等方面做好應(yīng)急工作����,提高應(yīng)急處能力,提高抗風(fēng)險能力和突發(fā)事件應(yīng)對能力。
一�����、當(dāng)前農(nóng)村信用社信息科技風(fēng)險管理中存在的主要問題目前農(nóng)村信用社對信息科技風(fēng)險的管理相對薄弱��,管理層缺乏對信息科技的關(guān)注和統(tǒng)籌安排����,對信息科技的風(fēng)險了解不多,導(dǎo)致一些風(fēng)險事項時有發(fā)生����,存在以下幾個突出問題。
(一)對信息科技風(fēng)險認(rèn)識不到位�����。從調(diào)查發(fā)現(xiàn)�,信息科技管理部門人員配備不足,參加信息科技風(fēng)險培訓(xùn)較少����,缺少完整、系統(tǒng)的信息科技風(fēng)險的概念和相關(guān)知識��,對自身運營的業(yè)務(wù)系統(tǒng)、機房管理��、ATM等實體系統(tǒng)認(rèn)識較深�,對信息科技項目開發(fā)和變更管理情況、業(yè)務(wù)持續(xù)性計劃等認(rèn)識較為膚淺����,部分人員甚至在信息科技風(fēng)險就是保證業(yè)務(wù)系統(tǒng)正常運轉(zhuǎn)的錯誤觀念,極易忽視了自身各級系統(tǒng)的漏洞和隱患排查��、除險��。
(二)組織機構(gòu)及崗位設(shè)不到位��。各級管理層沒有成立相關(guān)信息科技風(fēng)險管理的領(lǐng)導(dǎo)和決策機構(gòu)�����,科技部門獨立于其它業(yè)務(wù)部門之外現(xiàn)象比較普遍人員數(shù)量不足�����,系統(tǒng)開發(fā)��、技術(shù)支持���、系統(tǒng)操作維護和系統(tǒng)安全不能嚴(yán)格分開�����,主要技術(shù)支持崗位未實現(xiàn)崗位定期輪換�����。缺乏專門的技術(shù)風(fēng)險管理部門或崗位進(jìn)行有效的監(jiān)督約束��,不能有效識別并量化可能存在的信息科技風(fēng)險因素���。
(三)制度制定與制度執(zhí)行不到位。很多單位不能嚴(yán)格執(zhí)行相關(guān)計算機應(yīng)用管理制度和中心機房管理規(guī)定���,項目資料文檔不完整��,缺少部分年度的項目資料文檔��,有的對機房運行日志未按規(guī)定進(jìn)行登記�����,部分新型設(shè)備購買后未及時更新相關(guān)的管理制度�,制度沒有隨著信息資產(chǎn)的升級而更新,不能起到防范風(fēng)險的作用���。
(四)外部制約與風(fēng)險控制環(huán)節(jié)不到位����。轄內(nèi)所有法人機構(gòu)及營業(yè)網(wǎng)點均未接受有關(guān)信息科技風(fēng)險的外部評估��,部分機構(gòu)向監(jiān)管部門提供的審計檢查報告多是在信息科技人員自我評價的基礎(chǔ)上形成的�,這種“既當(dāng)運動員又當(dāng)裁判員”的評估,易給金融機構(gòu)帶來信息科技審計制約風(fēng)險����。尤其是項目開發(fā)外包管理缺乏有效的風(fēng)險防范手段,沒有經(jīng)常性的對外包服務(wù)商近期經(jīng)營狀況和提供的服務(wù)狀況進(jìn)行評價和報告�,缺乏對外包商有效的監(jiān)督和約束�;沒有正式經(jīng)過批準(zhǔn)的針對外包服務(wù)商的應(yīng)急方案和解除服務(wù)方案。業(yè)務(wù)需求部門隨意性強�����,系統(tǒng)變更與投產(chǎn)過于頻繁����,增大了開發(fā)與維護人員工作壓力�,也影響了前臺業(yè)務(wù)質(zhì)量��。
(五)科技信息衍生品風(fēng)險管理不到位��。隨著銀行卡業(yè)務(wù)的迅速擴張和競爭的日趨激烈��,有關(guān)銀行卡方面的投訴�、糾紛、案件頻發(fā)�����,銀行卡業(yè)務(wù)風(fēng)險處于多發(fā)���、高發(fā)期���。銀行卡業(yè)務(wù)主要風(fēng)險包括:通過ATM機取現(xiàn)、POS機套現(xiàn)(消費)或網(wǎng)絡(luò)(電話)轉(zhuǎn)賬等形式而發(fā)生的外部欺詐風(fēng)險����;特約商戶非法交易或違章操作引起持卡人或發(fā)卡機構(gòu)資金損失的中介機構(gòu)職務(wù)之便與不法分子勾結(jié)、串通作案造成的內(nèi)部操作風(fēng)險��。這些風(fēng)險不僅對客戶及銀行的資金安全造成威脅�����,對銀行的聲譽也造成了嚴(yán)重影響。
二��、加強信息科技風(fēng)險防范的對策
(一)加強培訓(xùn)學(xué)習(xí)的頻度和濃度����。要結(jié)合銀監(jiān)會有關(guān)銀行業(yè)金融機構(gòu)信息科技風(fēng)險管理文件要求,組織對轄內(nèi)信息科技人員培訓(xùn)�����、學(xué)習(xí)和貫徹���。重點學(xué)習(xí)好201*年以來銀監(jiān)會下發(fā)的有關(guān)信息科技風(fēng)險監(jiān)管方面的文件��,目的就是通過系統(tǒng)地學(xué)習(xí)和培訓(xùn)�����,讓相關(guān)人員掌握銀監(jiān)會有關(guān)信息風(fēng)險監(jiān)管的要求,自覺地在工作中貫徹執(zhí)行���。多組織轄內(nèi)員工收看銀監(jiān)會有關(guān)信用卡收單風(fēng)險管理培訓(xùn)等方面的講座���。
(二)建立多種層面的防范聯(lián)動協(xié)機制�。一是要建立各級信息科技負(fù)責(zé)人聯(lián)席會議制度�,及時傳達(dá)學(xué)習(xí)銀監(jiān)會和山東銀監(jiān)局信息科技風(fēng)險監(jiān)管文件、要求�,開展經(jīng)驗交流,共同研究和解決工作中出現(xiàn)的新問題����、新情況。二是要建立統(tǒng)計信息部門與各業(yè)務(wù)部門之間的聯(lián)動機制���,實現(xiàn)各部門間的防范優(yōu)勢互補和信息共享���,形成監(jiān)管合力。三是各銀行業(yè)機構(gòu)也要建立內(nèi)部信息科技風(fēng)險的協(xié)調(diào)機制�����,由一名行級領(lǐng)導(dǎo)牽頭成立協(xié)調(diào)組織機構(gòu)�,將信息科技作為各業(yè)務(wù)條線的結(jié)合點,統(tǒng)籌研究�,明確責(zé)任,自查本行信息科技方面存在的問題,遇到內(nèi)部不能協(xié)調(diào)解決的問題時�����,要及時同監(jiān)管部門溝通���,共同解決�。
(三)完善信息科技風(fēng)險內(nèi)控制度���。要按照銀監(jiān)會《銀行業(yè)金融機構(gòu)信息系統(tǒng)風(fēng)險管理指引》的要求�����,對可能出現(xiàn)的管理漏洞和執(zhí)行不嚴(yán)等問題�,查缺補漏�,調(diào)整優(yōu)化,嚴(yán)格評估信息安全內(nèi)控體系的完整性和實施的有效性��。轄內(nèi)各機構(gòu)�����、各網(wǎng)點要主動開展一次內(nèi)部審計�����,有條件的法人機構(gòu)要開展一次外部審計��。要嚴(yán)格按照銀監(jiān)會要求和部署�,適時組織開展對轄內(nèi)機構(gòu)信息科技風(fēng)險狀況的現(xiàn)場檢查。(四)加強銀行卡�、POS機市場營銷和電子銀行類業(yè)務(wù)的風(fēng)險防范。近幾年���,銀行卡和電子銀行業(yè)務(wù)方面的風(fēng)險防范形勢較為嚴(yán)峻���,犯罪分子利用銀行卡、網(wǎng)上銀行����、ATM、POS等金融機具實施的不法活動日益增加��,犯罪手段在不斷翻新�。各級農(nóng)村信社要密切關(guān)注并采取必要的手段防范可能出現(xiàn)的風(fēng)險。要加大消費者的風(fēng)險提示�,通過公眾金融服務(wù)教育提高消費者的風(fēng)險意識。不斷加大技術(shù)手段防范��,通過網(wǎng)上銀行實施雙重身份認(rèn)證,限制電子銀行�、POS或ATM轉(zhuǎn)賬交易金融等方式加強管理,并加強對上述渠道的監(jiān)控監(jiān)測�。要按照銀聯(lián)銀行內(nèi)卡業(yè)務(wù)一柜一機的要求,禁止通過各種不正當(dāng)方式進(jìn)行無序競爭�。嚴(yán)禁為推行發(fā)卡量、POS機具數(shù)量而放松審查����,使不法商戶非法套現(xiàn)、編造虛假資料套取銀聯(lián)機具���、POS機具異地安裝等行為有可乘之機�����。還要充分借助特約商戶的力量和社會舉報力量�,增強風(fēng)險防范合力����。
(五)加強信息系統(tǒng)風(fēng)險管理與防范。各級農(nóng)村信用社要按照銀監(jiān)會下發(fā)的《關(guān)于北京奧運會期間銀行信息科技風(fēng)險提示的通知》以及《銀行業(yè)金融機構(gòu)信息科技風(fēng)險奧運專項自查要點》要求����,做好業(yè)務(wù)服務(wù)連續(xù)性工作�����,加強系統(tǒng)運行安全管理,強化ATM機等自助設(shè)備安全防范工作�����。要特別重社完善應(yīng)急管理機制���,從電力���、設(shè)備、人力等各方面做好充分準(zhǔn)備����,制訂、修訂突發(fā)事件應(yīng)急處預(yù)案并加以演練或試行壓力測試����,妥善處可能發(fā)生的各種突發(fā)事件,確保農(nóng)村信用社機構(gòu)信息系統(tǒng)可靠運行����,保障各項業(yè)務(wù)正常運轉(zhuǎn)����、提高客戶服務(wù)水平���。
友情提示:本文中關(guān)于《農(nóng)信社風(fēng)險管理問題及建議》給出的范例僅供您參考拓展思維使用��,農(nóng)信社風(fēng)險管理問題及建議:該篇文章建議您自主創(chuàng)作���。
來源:網(wǎng)絡(luò)整理 免責(zé)聲明:本文僅限學(xué)習(xí)分享,如產(chǎn)生版權(quán)問題���,請聯(lián)系我們及時刪除��。
《
農(nóng)信社風(fēng)險管理問題及建議》由互聯(lián)網(wǎng)用戶整理提供,轉(zhuǎn)載分享請保留原作者信息,謝謝!
鏈接地址:http://www.weilaioem.com/gongwen/656283.html
