農(nóng)信社風(fēng)險(xiǎn)管理問(wèn)題及建議
農(nóng)信社風(fēng)險(xiǎn)管理問(wèn)題及建議
符學(xué)麗
合規(guī)已成為農(nóng)村信用社內(nèi)部一項(xiàng)核心的風(fēng)險(xiǎn)管理活動(dòng)���,合規(guī)風(fēng)險(xiǎn)逐漸成為除信用風(fēng)險(xiǎn)�、市場(chǎng)風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn)之外的農(nóng)村信用社面臨的重要風(fēng)險(xiǎn)��。因此����,銀監(jiān)部門的監(jiān)管重點(diǎn)已從農(nóng)村信用社體制監(jiān)管逐步轉(zhuǎn)移到合規(guī)經(jīng)營(yíng)上來(lái)�����,以力促合規(guī)經(jīng)營(yíng)為主要目標(biāo)的合規(guī)風(fēng)險(xiǎn)管理工作成為今年農(nóng)村信用社系統(tǒng)一大熱點(diǎn)問(wèn)題��。但從目前工作進(jìn)展情況來(lái)看,農(nóng)村信用社合規(guī)風(fēng)險(xiǎn)管理還存在許多深層次的問(wèn)題����。就當(dāng)前農(nóng)村信用社的實(shí)際,及近二年我縣聯(lián)社在市辦的各項(xiàng)檢查情況����,對(duì)如何完善農(nóng)村信用社合規(guī)風(fēng)險(xiǎn)管理提出一系列改進(jìn)建議。
一�、農(nóng)村信用社合規(guī)風(fēng)險(xiǎn)管理存在的主要問(wèn)題
長(zhǎng)期以來(lái),農(nóng)村信用社一直未將合規(guī)作為一個(gè)重要的風(fēng)險(xiǎn)源來(lái)管理���,更沒有將合規(guī)風(fēng)險(xiǎn)管理擺上應(yīng)有的重要位置�����,從目前農(nóng)村信用社開展的合規(guī)建設(shè)年和風(fēng)險(xiǎn)管理年活動(dòng)情況看��,農(nóng)村信用社在合規(guī)風(fēng)險(xiǎn)管理中存在以下問(wèn)題:
1���、合規(guī)風(fēng)險(xiǎn)管理意識(shí)淡薄
根據(jù)今年以來(lái)強(qiáng)化合規(guī)知識(shí)教育提高案件防控力活動(dòng)開展情況來(lái)看�����,相當(dāng)一部分干部員工���,對(duì)合規(guī)管理還沒有充分的理解和認(rèn)知,即使是合規(guī)部門從業(yè)人員�,對(duì)今后合規(guī)工作怎樣開展也拿捏不準(zhǔn)。一些員工特別是基層職員�,對(duì)于什么是合規(guī),為什么要合規(guī)�����,怎樣才能合規(guī)��,還存在模糊的���、甚至是錯(cuò)誤的認(rèn)識(shí)和做法�����。有的員工對(duì)當(dāng)前推行的合規(guī)教育培訓(xùn)和考試存在被動(dòng)應(yīng)付的消極心理�,對(duì)合規(guī)工作極為排斥,甚至將其與業(yè)務(wù)經(jīng)營(yíng)對(duì)立起來(lái)���,將其視為一種負(fù)擔(dān)���,害怕合規(guī)風(fēng)險(xiǎn)管理進(jìn)行下去會(huì)影響業(yè)務(wù)經(jīng)營(yíng)工作的開展。但事實(shí)上��,由于管理層人員掌握著人力���、物力、財(cái)力等大權(quán)�����,由其而引發(fā)的合規(guī)風(fēng)險(xiǎn)���,其危害性要遠(yuǎn)遠(yuǎn)大于執(zhí)行層操作人員�����。
2����、合規(guī)風(fēng)險(xiǎn)管理機(jī)制不健全
在合規(guī)風(fēng)險(xiǎn)管理活動(dòng)中,農(nóng)村信用社開始著手建立合規(guī)風(fēng)險(xiǎn)管理體系�����,組建了相對(duì)獨(dú)立的合規(guī)部門��,配備了合規(guī)風(fēng)險(xiǎn)管理人員�����。但從目前情況看��,農(nóng)村信用社在合規(guī)風(fēng)險(xiǎn)管理機(jī)制上仍存在一定缺陷:一是合規(guī)管理沒有完善����、垂直的合規(guī)風(fēng)險(xiǎn)管理體制還沒有完全形成。大多數(shù)農(nóng)村信用社還沒有成立獨(dú)立的合規(guī)風(fēng)險(xiǎn)管理部門來(lái)對(duì)合規(guī)風(fēng)險(xiǎn)進(jìn)行統(tǒng)籌管理����,還沒有形成橫向到邊、縱向到底的全面和全方位的合規(guī)風(fēng)險(xiǎn)管理架構(gòu)���。二是合規(guī)風(fēng)險(xiǎn)管理職責(zé)分散���。
3��、合規(guī)風(fēng)險(xiǎn)管理法規(guī)制度缺乏可操作性
近年來(lái)����,通過(guò)改革發(fā)展�,農(nóng)村信用社在制度建設(shè)方面取得了長(zhǎng)足進(jìn)步,但執(zhí)行力低下的問(wèn)題使大量的制度形同虛設(shè)�,導(dǎo)致案件頻發(fā)。主要原因是農(nóng)村信用社內(nèi)部缺乏一個(gè)統(tǒng)一完整����、全面科學(xué)的合規(guī)風(fēng)險(xiǎn)管理法規(guī)制度及操作規(guī)則��,不少制度規(guī)定有粗略化��、大致化���、模糊化現(xiàn)象�����,缺乏可操作性��。同時(shí)合規(guī)風(fēng)險(xiǎn)管理的激勵(lì)約束機(jī)制不健全�,獎(jiǎng)勵(lì)力度較小,懲罰措施較輕�。一般情況下,只要沒有損失或案件���,對(duì)違規(guī)人員往往只采取教育����、經(jīng)濟(jì)處罰和限期整改等措施���,很少進(jìn)行嚴(yán)厲處分�,對(duì)于造成損失或釀成案件的人員�,問(wèn)責(zé)也不到位。
二�����、進(jìn)一步加強(qiáng)農(nóng)村信用社合規(guī)風(fēng)險(xiǎn)管理的政策建議
農(nóng)村信用社合規(guī)風(fēng)險(xiǎn)管理建設(shè)尚處于起步階段�,要形成科學(xué)有效的合規(guī)管理機(jī)制仍需要一個(gè)不斷積累和完善的過(guò)程。為徹底解決以上存在問(wèn)題�,促進(jìn)農(nóng)村信用社合規(guī)風(fēng)險(xiǎn)管理活動(dòng)的順利開展,真正提高合規(guī)風(fēng)險(xiǎn)管理水平�,提出以下改進(jìn)建議:
1、履行明確的合規(guī)管理職責(zé)
明確合規(guī)管理職責(zé)是構(gòu)建合規(guī)風(fēng)險(xiǎn)管理運(yùn)行機(jī)制的必要前提�。合規(guī)管理職責(zé)的進(jìn)一步明確��,需要深入了解合規(guī)工作的特性����。一是獨(dú)立性��;即合規(guī)部門須獨(dú)立于各業(yè)務(wù)條線發(fā)揮作用�。二是權(quán)威性;合規(guī)部門須在經(jīng)營(yíng)管理中發(fā)揮至關(guān)重要的作用��,要向高管層提出經(jīng)營(yíng)管理中的合規(guī)意見和建議�。三是全面性;合規(guī)管理工作須滲透到各業(yè)務(wù)單元和條線��,與業(yè)務(wù)管理實(shí)現(xiàn)“無(wú)縫對(duì)接”�。四是預(yù)警性;合規(guī)部門須對(duì)外部法律法規(guī)及時(shí)反應(yīng)�����,向業(yè)務(wù)部門提供信息進(jìn)行預(yù)警����。五是動(dòng)態(tài)性���;合規(guī)風(fēng)險(xiǎn)預(yù)警�����、提示及對(duì)各類信息的反應(yīng)須是動(dòng)態(tài)的�、實(shí)時(shí)的。六是協(xié)調(diào)性��;合規(guī)部門與其他業(yè)務(wù)部門及內(nèi)審部門的關(guān)系應(yīng)當(dāng)是協(xié)調(diào)合作�����,而不是“警察與小偷”的關(guān)系�����。
2�����、按照“高標(biāo)準(zhǔn)、高起點(diǎn)”的要求,加強(qiáng)合規(guī)風(fēng)險(xiǎn)管理的統(tǒng)一協(xié)調(diào)性��。
合規(guī)風(fēng)險(xiǎn)管理對(duì)農(nóng)村信用社來(lái)說(shuō)還是一新事物,又是一個(gè)艱巨的系統(tǒng)工程����,受人力�、財(cái)力和自身創(chuàng)新能力所限,以縣為單位的聯(lián)社很難獨(dú)立構(gòu)建起真正的合規(guī)風(fēng)險(xiǎn)管理體系��,難以發(fā)揮合規(guī)風(fēng)險(xiǎn)管理對(duì)業(yè)務(wù)經(jīng)營(yíng)的正向促進(jìn)作用�����。因此����,建議農(nóng)村信用社省市級(jí)管理機(jī)構(gòu),從省市農(nóng)村信用社全局出發(fā)�,自上而下的集中創(chuàng)新一套全面、系統(tǒng)���、專業(yè)和統(tǒng)一的合規(guī)風(fēng)險(xiǎn)識(shí)別�、評(píng)估�����、監(jiān)測(cè)和防范體系���,經(jīng)試點(diǎn)后�,在全省集中推廣���,以省或市為單位構(gòu)建起全省農(nóng)村信用社合規(guī)風(fēng)險(xiǎn)管理體系���。
3、實(shí)施嚴(yán)格的合規(guī)管理制度建立誠(chéng)信舉報(bào)機(jī)制���,就是要讓那些不守規(guī)矩���、不講誠(chéng)信的人有一種外在的壓力,讓他們知道還有一雙雙眼睛盯著�,促進(jìn)他們?cè)谒枷肷蠒r(shí)刻牢記、行為上處處體現(xiàn)銀行業(yè)金融機(jī)構(gòu)最高標(biāo)準(zhǔn)的職業(yè)操守����,把合規(guī)管理部門作為誠(chéng)信舉報(bào)的重要渠道之一,建立違規(guī)舉報(bào)機(jī)制��,為內(nèi)部員工舉報(bào)違規(guī)��、違法行為提供必要的渠道和途徑���,并對(duì)舉報(bào)人進(jìn)行有效保護(hù)�。
4、建設(shè)高素質(zhì)的員工隊(duì)伍�����,奠定實(shí)施合規(guī)風(fēng)險(xiǎn)管理的人力資源基礎(chǔ)在合規(guī)風(fēng)險(xiǎn)管理中�,人是合規(guī)風(fēng)險(xiǎn)管理實(shí)踐活動(dòng)的主體,需要充分發(fā)揮積極性創(chuàng)造性主動(dòng)性�;同時(shí),人又是合規(guī)風(fēng)險(xiǎn)管理實(shí)踐的首要對(duì)象�����,人的風(fēng)險(xiǎn)是最大的風(fēng)險(xiǎn)��,要實(shí)現(xiàn)兩者的有機(jī)統(tǒng)一�,必須建立一支高素質(zhì)的風(fēng)險(xiǎn)管理隊(duì)伍。要廣泛深入開展合規(guī)風(fēng)險(xiǎn)管理活動(dòng)�����,通過(guò)開展諸如學(xué)習(xí)會(huì)����、討論會(huì)�����、征文比賽、考試測(cè)試等一系列員工樂于接受的活動(dòng)形式���,廣泛深入的教育廣大員工��,增強(qiáng)員工自主合規(guī)意識(shí)��,培育良好合規(guī)文化��,提高員工執(zhí)行力����,確保各項(xiàng)法律法規(guī)規(guī)定在農(nóng)村信用社的貫徹落實(shí)��。建立起一支適用于合規(guī)合規(guī)風(fēng)險(xiǎn)管理的專業(yè)化人才團(tuán)隊(duì)���,切實(shí)提高農(nóng)村信用社合規(guī)風(fēng)險(xiǎn)管理水平��,促進(jìn)業(yè)務(wù)經(jīng)營(yíng)的健康發(fā)展�����。5���、營(yíng)造健康有序的合規(guī)風(fēng)險(xiǎn)文化氛圍
營(yíng)造健康有序的合規(guī)文化氛圍是合規(guī)風(fēng)險(xiǎn)管理最難以把握�,但卻能深深影響銀行每位員工合規(guī)意識(shí)的工作����。要樹立主動(dòng)合規(guī)的合規(guī)文化,倡導(dǎo)主動(dòng)發(fā)現(xiàn)和暴露合規(guī)風(fēng)險(xiǎn)隱患或問(wèn)題�����,并相應(yīng)地在業(yè)務(wù)政策��、行為手冊(cè)和操作程序上進(jìn)行適當(dāng)?shù)母倪M(jìn)����。過(guò)去那種“以習(xí)慣代替制度,以情面代替處罰”的舊的文化一定要加以摒棄�,取而代之的正應(yīng)當(dāng)是主動(dòng)合規(guī)、自覺合規(guī)�����、上下合規(guī)�、內(nèi)外合規(guī)的全面合規(guī)時(shí)代的到來(lái)�。
擴(kuò)展閱讀:農(nóng)村信用社信息科技風(fēng)險(xiǎn)管理存在的問(wèn)題及建議
基層農(nóng)村信用社信息科技風(fēng)險(xiǎn)管理
存在的問(wèn)題及建議
隨著農(nóng)信社信息化的發(fā)展,信息科技的作用已從業(yè)務(wù)支持逐步走向與業(yè)務(wù)的融合���,并成為農(nóng)信社穩(wěn)健運(yùn)營(yíng)和發(fā)展的支柱���,然而�����,對(duì)于信息科技風(fēng)險(xiǎn)管控尚處于起步階段����,如何最大限度地防范信息科技風(fēng)險(xiǎn),充分享受信息科技帶來(lái)的便捷和效率���,已成為當(dāng)前我們必須認(rèn)真研究的一個(gè)重要課題���,信息科技風(fēng)險(xiǎn)防范工作亟待加強(qiáng)。為此�����,近期臨夏銀監(jiān)分局深入轄內(nèi)信用社����,了解信息科技風(fēng)險(xiǎn)管理情況�,掌握信息科技風(fēng)險(xiǎn)管理水平����,督促其建立有效的信息科技風(fēng)險(xiǎn)管理機(jī)制,增強(qiáng)信息科技風(fēng)險(xiǎn)的控制能力�。
一、當(dāng)前農(nóng)村信用社信息科技風(fēng)險(xiǎn)管理存在的主要問(wèn)題信息科技�����,是指商業(yè)銀行采用計(jì)算機(jī)�����、通信��、微電子和軟件工程等現(xiàn)代信息技術(shù)�����,在業(yè)務(wù)交易處理�����、經(jīng)營(yíng)管理和內(nèi)部控制等方面的應(yīng)用,并包括專項(xiàng)治理�、建立完整的管理組織架構(gòu)、制定完善的管理策略和制度��。信息科技風(fēng)險(xiǎn)�,是指信息科技在商業(yè)銀行運(yùn)用過(guò)程中,由于自然因素���、人為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作��、法律和聲譽(yù)等風(fēng)險(xiǎn)���。由于近年來(lái)農(nóng)村信用社各項(xiàng)業(yè)務(wù)快速發(fā)展��,信息化水平的不斷提高����,新設(shè)備�����、新技術(shù)��、新程序的大量應(yīng)用,信息科技風(fēng)險(xiǎn)防范工作亦面臨著新的形勢(shì)�����、新的情況和新的問(wèn)題��,呈現(xiàn)出多元發(fā)展的趨勢(shì)其風(fēng)險(xiǎn)范疇也從單一的技術(shù)領(lǐng)域延伸至投資����、經(jīng)營(yíng)、管理的各個(gè)層面�。
(一)信息科技治理管理架構(gòu)存在缺陷。
一是思想認(rèn)識(shí)不到位�����。目前�,基層農(nóng)信聯(lián)社管理層普遍存在著重視信息科技建設(shè)、輕信息科技管理��,重信息科技建設(shè)的檔次提升�����、輕信息科技風(fēng)險(xiǎn)防范,重眼前業(yè)務(wù)發(fā)展�、輕長(zhǎng)期信息科技發(fā)規(guī)劃等問(wèn)題,缺乏對(duì)信息科技的關(guān)注和統(tǒng)籌安排����,對(duì)信息科技的風(fēng)險(xiǎn)了解不多,信息科技工作的實(shí)際地位在基層信用社是“說(shuō)起來(lái)重要�����、做起來(lái)急著要����,排起隊(duì)來(lái)次要,出了問(wèn)題什么都不要”��,信息科技風(fēng)險(xiǎn)管理相對(duì)薄弱��。二是制度制定����、執(zhí)行不到位��。信用社制訂的信息科技制度分散于其他管理制度中����,不具系統(tǒng)性����,且操作性也不強(qiáng)���,沒有形成一整套完善有效的信息科技風(fēng)險(xiǎn)管理制度���。即便是制定了一些制度,但落實(shí)不到位����,制度的約束性形同虛設(shè)。
(二)機(jī)制保障及應(yīng)急預(yù)案有待完善��。
農(nóng)信社網(wǎng)點(diǎn)機(jī)構(gòu)的應(yīng)急預(yù)案僅停留在形式上�。盡管各社制定了系統(tǒng)應(yīng)急預(yù)案,但仍有部分社從未進(jìn)行過(guò)應(yīng)急演練�,也沒有進(jìn)行過(guò)壓力測(cè)試,并不能保證及時(shí)處事故或緊急事件;部分社應(yīng)急預(yù)案涵蓋面過(guò)大�,缺乏針對(duì)性和操作性,影響應(yīng)急預(yù)案的實(shí)效部分信用社業(yè)務(wù)連續(xù)性缺乏有效技術(shù)支持����,且涵蓋范圍小����,大部分局限在網(wǎng)絡(luò)及數(shù)據(jù)的備份層次�����。此外����,多數(shù)沒有成立業(yè)務(wù)連續(xù)性管理委員會(huì)一類的領(lǐng)導(dǎo)組織,在發(fā)生業(yè)務(wù)連續(xù)性風(fēng)險(xiǎn)時(shí)�,統(tǒng)一指揮、協(xié)調(diào)存在一定困難�����。重要信息系統(tǒng)的應(yīng)急預(yù)案多數(shù)缺乏實(shí)踐性檢驗(yàn)�,其可行性和可操作性不能得到有效保證。對(duì)于已制定的應(yīng)急預(yù)案�,沒有覆蓋全部信息系統(tǒng)����、關(guān)鍵設(shè)施及相關(guān)業(yè)務(wù)保障部門,沒有詳細(xì)的操作方法和步驟�����,可操作性不強(qiáng),影響應(yīng)急預(yù)案的實(shí)效����。
(三)信息科技人員力量薄弱。
一是科技力量相對(duì)薄弱�����。信息科技管理部門人員配備不足��,科技人員數(shù)量與轄內(nèi)網(wǎng)點(diǎn)數(shù)量嚴(yán)重不匹配����,由此造成系統(tǒng)開發(fā)、技術(shù)支持���、系統(tǒng)操作維護(hù)和系統(tǒng)安全崗位交叉����,往往身兼數(shù)崗�����,關(guān)鍵崗位A、B角制度難以落實(shí);技術(shù)支持崗位未能實(shí)現(xiàn)崗位定期輪換�����,缺乏專門的技術(shù)風(fēng)險(xiǎn)管理部門或崗位進(jìn)行有效的監(jiān)督約束�,不能有效識(shí)別并量化可能存在的信息科技風(fēng)險(xiǎn)因素。
三是科技人員知識(shí)水平不高�。大部分機(jī)構(gòu)普遍存在缺乏專業(yè)高素質(zhì)人員,而且隨著信息化知識(shí)的更新步伐�����,科技隊(duì)伍工作人員的學(xué)習(xí)培訓(xùn)跟不上知識(shí)更新步伐�,參加信息科技風(fēng)險(xiǎn)培訓(xùn)較少,缺少完整����、系統(tǒng)的信息科技風(fēng)險(xiǎn)的概念和相關(guān)知識(shí),對(duì)自身運(yùn)營(yíng)的業(yè)務(wù)系統(tǒng)�、機(jī)房管理等實(shí)體系統(tǒng)認(rèn)識(shí)較深,對(duì)信息科技項(xiàng)目開發(fā)和變更管理情況���、業(yè)務(wù)持續(xù)性計(jì)劃等認(rèn)識(shí)較為膚淺,部分人員甚至在信息科技風(fēng)險(xiǎn)就是保證業(yè)務(wù)系統(tǒng)正常運(yùn)轉(zhuǎn)的錯(cuò)誤觀念�����,極易忽視了自身各級(jí)系統(tǒng)的漏洞和隱患排查、除險(xiǎn)����,在認(rèn)知上存在著對(duì)風(fēng)險(xiǎn)防范的盲區(qū)和誤區(qū)。
四是一線操作人員風(fēng)險(xiǎn)意識(shí)淡薄���。信息科技風(fēng)險(xiǎn)需要全員參與��,上至高層領(lǐng)導(dǎo)的決策�����,下至每位臨柜人員都是風(fēng)險(xiǎn)的防范者��,但目前在一線操作人員中�����,尚未形成人人有責(zé)的共識(shí)����,廣大員工對(duì)信息安全的重要性若罔聞����。
由于科技部門在農(nóng)村信用社屬于服務(wù)部門�,部分高管層認(rèn)為����,科技部門只要能夠保證設(shè)備及網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn),不出問(wèn)題就可以����。這一認(rèn)識(shí)誤區(qū)造成了科技部門的人員配備、機(jī)構(gòu)設(shè)上相對(duì)其他部門處于弱勢(shì)地位���。例如:永靖縣農(nóng)村信用合作聯(lián)社信息科技人員只有一名��,基層社沒有信息科技人員����。他除了進(jìn)行日常綜合業(yè)務(wù)系統(tǒng)維護(hù)外���,往往還要身兼數(shù)崗�����,關(guān)鍵崗位輪換�、強(qiáng)制休假等制度難以落實(shí),不能適應(yīng)當(dāng)前業(yè)務(wù)拓展與IT水平同步發(fā)展的需要�。以此來(lái)看���,農(nóng)村信用社信息科技人員的配備與當(dāng)前信息系統(tǒng)的高速發(fā)展不相匹配�����,這些都是容易導(dǎo)致信息科技風(fēng)險(xiǎn)發(fā)生的重大隱患�����。
(四)系統(tǒng)硬件建設(shè)存在安全隱患�����。一是機(jī)房管理有待加強(qiáng)�。機(jī)房的防火和供電等方面達(dá)不到要求��,機(jī)房沒有設(shè)防雷系統(tǒng)����,監(jiān)控存在盲區(qū)、不設(shè)門禁系統(tǒng);基層社對(duì)電子設(shè)備缺乏保養(yǎng)��,大大影響使用效果和使用壽命�����,存在一定的技術(shù)風(fēng)險(xiǎn)����。二是網(wǎng)絡(luò)運(yùn)行安全有待提高。省聯(lián)社數(shù)據(jù)大集中后�����,基層農(nóng)信社�����、縣級(jí)聯(lián)社到省聯(lián)社的網(wǎng)絡(luò)穩(wěn)定性和通暢性極為重要�,而其主、備通訊線路違反要求使用電信一家通訊公司線路�,一旦一個(gè)網(wǎng)點(diǎn)出現(xiàn)問(wèn)題,工作就會(huì)受到影響�,存在潛在的聲譽(yù)風(fēng)險(xiǎn)。
二���、加強(qiáng)信息科技風(fēng)險(xiǎn)管理的對(duì)策建議
(一)提高思想認(rèn)識(shí)�,加大科技投入。信息科技工作是當(dāng)前金融機(jī)構(gòu)經(jīng)營(yíng)與監(jiān)管的重要基礎(chǔ)和技術(shù)保障�,必須充分認(rèn)識(shí)信息科技工作在金融業(yè)監(jiān)管中的重要作用,切實(shí)加強(qiáng)對(duì)信息科技風(fēng)險(xiǎn)監(jiān)管工作的組織領(lǐng)導(dǎo)�。農(nóng)村信用合作聯(lián)社要提高思想認(rèn)識(shí),深刻理解信息科技風(fēng)險(xiǎn)管理的重要性��,將信息科技風(fēng)險(xiǎn)管理納入到全面風(fēng)險(xiǎn)管理之中����。另外�����,還要根據(jù)現(xiàn)場(chǎng)檢查發(fā)現(xiàn)的信息科技風(fēng)險(xiǎn)點(diǎn)��,加大信息科技建設(shè)投入��,積極整改��,對(duì)設(shè)備老化�、硬件設(shè)備不足等風(fēng)險(xiǎn)點(diǎn)要積極加以改進(jìn),及時(shí)消除信息科技系統(tǒng)中存在的各種風(fēng)險(xiǎn)和隱患����,確保各項(xiàng)服務(wù)安全連續(xù)進(jìn)行�����。
(二)完善應(yīng)急預(yù)案����,加強(qiáng)應(yīng)急演練����,提高系統(tǒng)響應(yīng)能力。一是應(yīng)定期����、不定期開展信息科技人員應(yīng)急管理培訓(xùn),并根據(jù)自身規(guī)模���、復(fù)雜程度及風(fēng)險(xiǎn)發(fā)生部位���、概率和危害程度,及時(shí)組織信息科技應(yīng)急預(yù)案演練����,并不斷修改完善應(yīng)急預(yù)案內(nèi)容���,提高對(duì)各類突發(fā)事件的處能力。二是要高度重視���,切實(shí)加強(qiáng)信息系統(tǒng)業(yè)務(wù)連續(xù)性管理����,增強(qiáng)信息科技應(yīng)急處能力�����。要嚴(yán)格按照《突發(fā)事件應(yīng)對(duì)法》��、《國(guó)家金融突發(fā)事件應(yīng)急預(yù)案》等法律法規(guī)要求���,結(jié)合自身實(shí)際,加快應(yīng)急體系建設(shè)���,加強(qiáng)業(yè)務(wù)持續(xù)性應(yīng)急演練����。三是進(jìn)一步完善應(yīng)急演練方案���,切實(shí)提高應(yīng)急水平和能力��。要做到責(zé)任明確�����、流程明確�����、預(yù)案明確�����、報(bào)告明確���、聯(lián)絡(luò)明確��,制定切實(shí)可行����、要件完備的應(yīng)急方案��。同時(shí)要加大應(yīng)急方案的演練���,熟練掌握各種應(yīng)急手段�,提高抗風(fēng)險(xiǎn)能力和突發(fā)事件應(yīng)對(duì)能力,不斷完善信息系統(tǒng)安全運(yùn)行體系�����。
(三)充實(shí)科技監(jiān)管隊(duì)伍���,加強(qiáng)內(nèi)控管理���。要采取切實(shí)措施,大量引進(jìn)信息科技專業(yè)人員�����,加大信息科技人才培訓(xùn)力度��,按照銀監(jiān)會(huì)《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》的要求��,充實(shí)信息科技審計(jì)力量����,完善管理制度�����,嚴(yán)格按照管理、運(yùn)行��、維護(hù)等崗位配備人員���,關(guān)鍵崗位必須配備AB角�����,真正做到人員控制����、制度控制�、系統(tǒng)控制三到位。要加強(qiáng)要害崗位管理�,計(jì)算機(jī)業(yè)務(wù)數(shù)據(jù)錄入員、系統(tǒng)管理員之間����,應(yīng)按照權(quán)力、責(zé)任范圍實(shí)行嚴(yán)格的限制���,相互制約�����、互相監(jiān)督���,嚴(yán)禁系統(tǒng)管理人員����、網(wǎng)絡(luò)技術(shù)人員和前臺(tái)操作人員混崗��、代崗或一人多崗��。同時(shí)要制定信息科技風(fēng)險(xiǎn)審計(jì)辦法�,定期對(duì)信息科技風(fēng)險(xiǎn)狀況進(jìn)行審計(jì)評(píng)價(jià),督促建立技術(shù)安全保障體系����。要加大信息科技安全檢查力度,定期和不定期進(jìn)行安全檢查���,及時(shí)糾正問(wèn)題和消除隱患。
(四)改善運(yùn)行環(huán)境���,加強(qiáng)信息科技風(fēng)險(xiǎn)培訓(xùn)���。一是要采取有效措施����,改善機(jī)房的供電系統(tǒng)和消防安全狀況�����,按照機(jī)房建設(shè)要求增加防雷系統(tǒng)����,更新核心業(yè)務(wù)系統(tǒng)設(shè)備,保證核心業(yè)務(wù)系統(tǒng)雙機(jī)熱備不間斷工作�����;要完善運(yùn)行值班制度���,保證對(duì)核心業(yè)務(wù)系統(tǒng)及網(wǎng)絡(luò)運(yùn)行狀況的有效監(jiān)控��,針對(duì)故障進(jìn)行有效的預(yù)測(cè)和報(bào)警�。二是要加大對(duì)信息科技風(fēng)險(xiǎn)的培訓(xùn)力度�,建議抽調(diào)一些業(yè)務(wù)骨干進(jìn)行專門的信息科技培訓(xùn),通過(guò)對(duì)信息科技的專項(xiàng)培訓(xùn),培養(yǎng)一批專門從事信息科技工作的干部��,保障信息系統(tǒng)的安全��、穩(wěn)健運(yùn)行�。
隨著農(nóng)信社信息化的發(fā)展,信息科技的作用已從業(yè)務(wù)支持逐步走向與業(yè)務(wù)的融合,并成為農(nóng)信社穩(wěn)健運(yùn)營(yíng)和發(fā)展的支柱��,然而�,對(duì)于信息科技風(fēng)險(xiǎn)管控尚處于起步階段,如何最大限度地防范信息科技風(fēng)險(xiǎn)����,充分享受信息科技帶來(lái)的便捷和效率,已成為當(dāng)前我們必須認(rèn)真研究的一個(gè)重要課題�,信息科技風(fēng)險(xiǎn)防范工作亟待加強(qiáng)。
一���、當(dāng)前信息科技風(fēng)險(xiǎn)防范工作中存在的主要問(wèn)題信息科技���,是指商業(yè)銀行采用計(jì)算機(jī)、通信�����、微電子和軟件工程等現(xiàn)代信息技術(shù)�,在業(yè)務(wù)交易處理、經(jīng)營(yíng)管理和內(nèi)部控制等方面的應(yīng)用�,并包括專項(xiàng)治理、建立完整的管理組織架構(gòu)��、制定完善的管理策略和制度����。信息科技風(fēng)險(xiǎn),是指信息科技在商業(yè)銀行運(yùn)用過(guò)程中�,由于自然因素、人為因素�����、技術(shù)漏洞和管理缺陷產(chǎn)生的操作����、法律和聲譽(yù)等風(fēng)險(xiǎn)。由于近年來(lái)農(nóng)村信用社各項(xiàng)業(yè)務(wù)快速發(fā)展�����,信息化水平的不斷提高����,新設(shè)備��、新技術(shù)��、新程序的大量應(yīng)用���,信息科技風(fēng)險(xiǎn)防范工作亦面臨著新的形勢(shì)、新的情況和新的問(wèn)題�����,呈現(xiàn)出多元發(fā)展的趨勢(shì)其風(fēng)險(xiǎn)范疇也從單一的技術(shù)領(lǐng)域延伸至投資���、經(jīng)營(yíng)�、管理的各個(gè)層面�。
(一)對(duì)信息科技風(fēng)險(xiǎn)認(rèn)識(shí)不到位
一是思想認(rèn)識(shí)不到位。目前��,基層農(nóng)信聯(lián)社管理層普遍存在著重視信息科技建設(shè)����、輕信息科技管理,重信息科技建設(shè)的檔次提升�、輕信息科技風(fēng)險(xiǎn)防范���,重眼前業(yè)務(wù)發(fā)展、輕長(zhǎng)期信息科技發(fā)規(guī)劃等問(wèn)題����,缺乏對(duì)信息科技的關(guān)注和統(tǒng)籌安排���,對(duì)信息科技的風(fēng)險(xiǎn)了解不多���,信息科技工作的實(shí)際地位在基層信用社是“說(shuō)起來(lái)重要、做起來(lái)急著要���,排起隊(duì)來(lái)次要��,出了問(wèn)題什么都不要”���,信息科技風(fēng)險(xiǎn)管理相對(duì)薄弱。
二是科技力量相對(duì)薄弱�。信息科技管理部門人員配備不足,科技人員數(shù)量與轄內(nèi)網(wǎng)點(diǎn)數(shù)量嚴(yán)重不匹配�,由此造成系統(tǒng)開發(fā)、技術(shù)支持�����、系統(tǒng)操作維護(hù)和系統(tǒng)安全崗位交叉,往往身兼數(shù)崗���,關(guān)鍵崗位A�、B角制度難以落實(shí);技術(shù)支持崗位未能實(shí)現(xiàn)崗位定期輪換����,缺乏專門的技術(shù)風(fēng)險(xiǎn)管理部門或崗位進(jìn)行有效的監(jiān)督約束,不能有效識(shí)別并量化可能存在的信息科技風(fēng)險(xiǎn)因素���。
三是科技人員知識(shí)水平不高�����。大部分機(jī)構(gòu)普遍存在缺乏專業(yè)高素質(zhì)人員�����,而且隨著信息化知識(shí)的更新步伐�����,科技隊(duì)伍工作人員的學(xué)習(xí)培訓(xùn)跟不上知識(shí)更新步伐���,參加信息科技風(fēng)險(xiǎn)培訓(xùn)較少�,缺少完整�����、系統(tǒng)的信息科技風(fēng)險(xiǎn)的概念和相關(guān)知識(shí)��,對(duì)自身運(yùn)營(yíng)的業(yè)務(wù)系統(tǒng)�、機(jī)房管理等實(shí)體系統(tǒng)認(rèn)識(shí)較深��,對(duì)信息科技項(xiàng)目開發(fā)和變更管理情況����、業(yè)務(wù)持續(xù)性計(jì)劃等認(rèn)識(shí)較為膚淺,部分人員甚至在信息科技風(fēng)險(xiǎn)就是保證業(yè)務(wù)系統(tǒng)正常運(yùn)轉(zhuǎn)的錯(cuò)誤觀念����,極易忽視了自身各級(jí)系統(tǒng)的漏洞和隱患排查、除險(xiǎn)���,在認(rèn)知上存在著對(duì)風(fēng)險(xiǎn)防范的盲區(qū)和誤區(qū)���。
四是一線操作人員風(fēng)險(xiǎn)意識(shí)淡薄��。信息科技風(fēng)險(xiǎn)需要全員參與���,上至高層領(lǐng)導(dǎo)的決策,下至每位臨柜人員都是風(fēng)險(xiǎn)的防范者���,但目前在一線操作人員中���,尚未形成人人有責(zé)的共識(shí),廣大員工對(duì)信息安全的重要性若罔聞�。
(二)信息科技風(fēng)險(xiǎn)管理制度不到位
一是管控體系不完善。雖然農(nóng)村合作金融機(jī)構(gòu)均成立了信息安全領(lǐng)導(dǎo)小組�����,但多數(shù)未真正實(shí)施起信息科技風(fēng)險(xiǎn)管理的領(lǐng)導(dǎo)決策職責(zé)���,信息科技風(fēng)險(xiǎn)管控目標(biāo)尚未確立���,主要表現(xiàn)在多數(shù)農(nóng)信社的理事會(huì)未制定信息科技發(fā)展的長(zhǎng)遠(yuǎn)規(guī)劃或發(fā)展策略,僅在每年股東大會(huì)或理事會(huì)季度例會(huì)上對(duì)信息科技設(shè)備的購(gòu)作簡(jiǎn)要的說(shuō)明����,信息科技風(fēng)險(xiǎn)防范的目標(biāo)幾乎沒有涉及�。
二是管控制度不系統(tǒng)�。部分基層聯(lián)社沒有制定專門的科技風(fēng)險(xiǎn)管理制度,有制度的又大多分散于其他管理制度中�����,不具有系統(tǒng)性�����,且操作性也不強(qiáng)����,缺乏具體的識(shí)別���、監(jiān)測(cè)和控制風(fēng)險(xiǎn)的措施�����。
三是制度執(zhí)行不到位��。很多單位不能嚴(yán)格執(zhí)行相關(guān)計(jì)算機(jī)應(yīng)用管理制度和中心機(jī)房管理規(guī)定;有的對(duì)信息系統(tǒng)運(yùn)行保障工作重視不夠��,未建立健全信息系統(tǒng)運(yùn)行巡查制度�,無(wú)法及時(shí)發(fā)現(xiàn)機(jī)房、主機(jī)��、數(shù)據(jù)庫(kù)等系統(tǒng)運(yùn)行的異常情況及故障;有的對(duì)機(jī)房運(yùn)行日志未按規(guī)定進(jìn)行登記����,文檔不完整;部分新型設(shè)備購(gòu)買后未及時(shí)更新相關(guān)的管理制度,制度沒有隨著信息資產(chǎn)的升級(jí)而更新�����,不能起到防范風(fēng)險(xiǎn)的作用;在基層網(wǎng)點(diǎn)操作人員未按制度進(jìn)行授權(quán)操作�����,未按流程進(jìn)行業(yè)務(wù)辦理�,制度人為地架空。
(三)信息科技風(fēng)險(xiǎn)管控不到位
一是風(fēng)險(xiǎn)管控操作不規(guī)范�。目前基層一線大部分操作人員防范科技風(fēng)險(xiǎn)意識(shí)淡薄,安全認(rèn)證和訪問(wèn)控制防范意識(shí)差���,存在樸素地感情信任�����,出現(xiàn)違規(guī)上崗�、共用柜員號(hào)、一人多號(hào)���、不按規(guī)定更改密碼����、密碼設(shè)簡(jiǎn)單����、系統(tǒng)自錄登錄等問(wèn)題;在授權(quán)管理上,存在交叉授權(quán)�、授權(quán)未審核業(yè)務(wù)等問(wèn)題,存在較大的風(fēng)險(xiǎn)隱患��。而新注入的新生人員力量在大環(huán)境的影響下也未能嚴(yán)格按照制度執(zhí)行�,致使人為操作風(fēng)險(xiǎn)不能從根本上扭轉(zhuǎn)��。
二是風(fēng)險(xiǎn)管控職能不健全�。農(nóng)信社均設(shè)了風(fēng)險(xiǎn)管理部門,但基本上僅履行管控資產(chǎn)����、負(fù)債類業(yè)務(wù)風(fēng)險(xiǎn)的職能,并未涵蓋信息科技風(fēng)險(xiǎn)�?萍硷L(fēng)險(xiǎn)管理工作主要由科技部門負(fù)責(zé),而科技部門是信息系統(tǒng)的建設(shè)者和維護(hù)者���,由其承擔(dān)科技風(fēng)險(xiǎn)管理職能�,缺少必要的技術(shù)人員和有效手段��,內(nèi)部審計(jì)不能形成有效的制衡機(jī)制�。
三是外部制約控制不到位。轄內(nèi)所有法人機(jī)構(gòu)及營(yíng)業(yè)網(wǎng)點(diǎn)均未接受有關(guān)信息科技風(fēng)險(xiǎn)的外部評(píng)估�,各級(jí)機(jī)構(gòu)向監(jiān)管部門提供的審計(jì)檢查報(bào)告多是在信息科技人員自我評(píng)價(jià)的基礎(chǔ)上形成的,這種“既當(dāng)運(yùn)動(dòng)員又當(dāng)裁判員”的評(píng)估���,易給農(nóng)信社帶來(lái)信息科技審計(jì)制約風(fēng)險(xiǎn)��。
四是科技信息衍生品風(fēng)險(xiǎn)管理不到位�����。隨著銀行卡業(yè)務(wù)的迅速擴(kuò)張和競(jìng)爭(zhēng)的日趨激烈�����,有關(guān)銀行卡方面的投訴��、糾紛�����、案件頻發(fā)����,銀行卡業(yè)務(wù)風(fēng)險(xiǎn)處于多發(fā)、高發(fā)期��。銀行卡業(yè)務(wù)主要風(fēng)險(xiǎn)包括:通過(guò)ATM機(jī)取現(xiàn)��、POS機(jī)套現(xiàn)(消費(fèi))或網(wǎng)絡(luò)(電話)轉(zhuǎn)賬等形式而發(fā)生的外部欺詐風(fēng)險(xiǎn);特約商戶非法交易或違章操作引起持卡人或發(fā)卡機(jī)構(gòu)資金損失的中介機(jī)構(gòu)職務(wù)之便與不法分子勾結(jié)��、串通作案造成的內(nèi)部操作風(fēng)險(xiǎn)�。這些風(fēng)險(xiǎn)不僅對(duì)客戶及銀行的資金安全造成威脅,對(duì)銀行的聲譽(yù)也造成了嚴(yán)重影響���。
(四)系統(tǒng)性管理不到位
一是科技硬件基礎(chǔ)設(shè)施薄弱�。目前���,農(nóng)信社機(jī)房的建設(shè)不達(dá)標(biāo),個(gè)別聯(lián)社的機(jī)房簡(jiǎn)陋�����,甚至未達(dá)到國(guó)家機(jī)房建設(shè)的最低C級(jí)標(biāo)準(zhǔn),已建成的新機(jī)房也因前期協(xié)調(diào)���、資金等問(wèn)題��,存在漏洞�����,部分聯(lián)社的機(jī)房防雷�、消防等設(shè)施均未配備��,一旦發(fā)生機(jī)房失火或雷擊等突發(fā)性事故����,核心業(yè)務(wù)系統(tǒng)或網(wǎng)絡(luò)中樞將遭受損害;對(duì)于網(wǎng)絡(luò)運(yùn)行環(huán)境而言,數(shù)據(jù)大集中和前機(jī)后移��,都需要極穩(wěn)定的網(wǎng)絡(luò)環(huán)境支撐��,從鄉(xiāng)鎮(zhèn)到縣中心機(jī)房��,再到市�����、省中心,任何環(huán)節(jié)網(wǎng)絡(luò)不暢都會(huì)導(dǎo)致業(yè)務(wù)的中斷���,農(nóng)信社核心網(wǎng)絡(luò)設(shè)備使用期限已達(dá)7年�����,且基層農(nóng)信社也沒購(gòu)備用網(wǎng)絡(luò)設(shè)備�,一旦設(shè)備損壞���,極易造成業(yè)務(wù)中斷;現(xiàn)在農(nóng)信社均實(shí)行了內(nèi)�、外網(wǎng)絡(luò)的物理隔離�����,但對(duì)移動(dòng)設(shè)備的管理缺乏有效的制約手段����,極易導(dǎo)致外網(wǎng)病毒通過(guò)移動(dòng)設(shè)備傳播和感染到內(nèi)網(wǎng)未打補(bǔ)丁包的windows類操作系統(tǒng),這導(dǎo)致內(nèi)網(wǎng)帶寬被侵占�,從而影響業(yè)務(wù)系統(tǒng)的運(yùn)行。
二是系統(tǒng)軟件設(shè)計(jì)存在缺陷�。目前�����,農(nóng)信社使用的IT系統(tǒng)的核心為綜合業(yè)務(wù)系統(tǒng)和信貸管理系統(tǒng),是由省中心開發(fā)的�,基本能滿足業(yè)務(wù)操作的需要,但這些系統(tǒng)風(fēng)險(xiǎn)管控功能�、報(bào)表分析功能不強(qiáng)。如:綜合業(yè)務(wù)管理平臺(tái)的事后補(bǔ)救措施和升級(jí)在逐步開展����,系統(tǒng)變更與投產(chǎn)過(guò)于頻繁,增大了開發(fā)與維護(hù)人員工作壓力�����,也影響了前臺(tái)業(yè)務(wù)質(zhì)量;信貸業(yè)務(wù)管理系統(tǒng)在設(shè)計(jì)時(shí)未能考慮銀監(jiān)部門信貸風(fēng)險(xiǎn)控制的基本要求���,沒有設(shè)貸款集中度風(fēng)險(xiǎn)��、集團(tuán)授信風(fēng)險(xiǎn)等風(fēng)險(xiǎn)提示模塊��,從而導(dǎo)致系統(tǒng)無(wú)法適時(shí)提示上述風(fēng)險(xiǎn);業(yè)務(wù)流程控制缺陷較多����,部分信貸業(yè)務(wù)辦理不受信貸管理系統(tǒng)控制,信貸管理系統(tǒng)對(duì)貼現(xiàn)科目控制存在漏洞��,貼現(xiàn)科目無(wú)需信貸管理系統(tǒng)授權(quán)����,通過(guò)綜合業(yè)務(wù)系統(tǒng)的會(huì)計(jì)前臺(tái)即可辦理該項(xiàng)業(yè)務(wù),既無(wú)制約功能���,也不能信息共享等問(wèn)題��。
三是應(yīng)急預(yù)案不完善���。農(nóng)新社網(wǎng)點(diǎn)機(jī)構(gòu)的應(yīng)急預(yù)案僅停留在形式上。盡管各社制定了系統(tǒng)應(yīng)急預(yù)案�,但仍有部分社從未進(jìn)行過(guò)應(yīng)急演練,也沒有進(jìn)行過(guò)壓力測(cè)試�,并不能保證及時(shí)處事故或緊急事件;部分社應(yīng)急預(yù)案涵蓋面過(guò)大,缺乏針對(duì)性和操作性�,影響應(yīng)急預(yù)案的實(shí)效。
二�、加強(qiáng)農(nóng)信社科技信息風(fēng)險(xiǎn)防控的對(duì)策和建議農(nóng)信社應(yīng)按照《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》要求,從業(yè)務(wù)需求出發(fā)�,加強(qiáng)信息科技風(fēng)險(xiǎn)管控,從“要我做”變?yōu)椤拔乙觥保龅绞虑坝蓄A(yù)防�����、事中有控制和事后有檢查����,將技術(shù)防范為主的被動(dòng)信息安全工作���,轉(zhuǎn)變?yōu)橐灶A(yù)防為主的主動(dòng)信息科技風(fēng)險(xiǎn)管控�。
(一)加強(qiáng)信息科技風(fēng)險(xiǎn)防范的組織領(lǐng)導(dǎo)和隊(duì)伍建設(shè)一是各級(jí)領(lǐng)導(dǎo)要站在維護(hù)社會(huì)秩序和促進(jìn)農(nóng)信社發(fā)展的高度�,充分認(rèn)識(shí)信息科技安全的緊迫性和重要性,要看到農(nóng)信社的現(xiàn)狀和未來(lái)��,要看到近幾年農(nóng)信社信息化得迅速發(fā)展和展望未來(lái)的廣大前景����,要充分認(rèn)識(shí)IT價(jià)值,要明確信息科技風(fēng)險(xiǎn)管理目標(biāo)����,要將信息科技風(fēng)險(xiǎn)納入自身的總體風(fēng)險(xiǎn)框架,聯(lián)社理事長(zhǎng)作為信息科技風(fēng)險(xiǎn)的第一責(zé)任人����,負(fù)責(zé)組織貫徹落實(shí)���。
二是完善信息科技風(fēng)險(xiǎn)管理機(jī)制。要處理好業(yè)務(wù)發(fā)展與信息科技風(fēng)險(xiǎn)防范之間的關(guān)系�����,建立全系統(tǒng)自上而下的信息科技風(fēng)險(xiǎn)管理體系��,實(shí)現(xiàn)對(duì)信息科技風(fēng)險(xiǎn)的識(shí)別���、計(jì)量���、監(jiān)測(cè)和控制,嚴(yán)格落實(shí)相關(guān)責(zé)任制和事故追究責(zé)任制�����,積極采取措施消除信息科技風(fēng)險(xiǎn)重大隱患�,推動(dòng)業(yè)務(wù)創(chuàng)新,提高信息技術(shù)使用水平�,增強(qiáng)核心競(jìng)爭(zhēng)力和可持續(xù)發(fā)展能力。
三是建立相應(yīng)的激勵(lì)和約束機(jī)制����,打造一支穩(wěn)定�、團(tuán)結(jié)�����、高效的科技隊(duì)伍���。首先����,要加強(qiáng)職業(yè)道德和法律法規(guī)教育���,提高科技隊(duì)伍的思想政治素質(zhì),嚴(yán)格要害崗位人員的審查����,從思想上筑起一道防范信息科技風(fēng)險(xiǎn)的“防火墻”;其次,要實(shí)施科技人員梯隊(duì)管理��。要將全市科技人員按照管理人員���、計(jì)算機(jī)安全管理員��、計(jì)算機(jī)操作人員進(jìn)行分類管理��,按照市����、縣兩級(jí)組織實(shí)施級(jí)別管理,市級(jí)以縣級(jí)聯(lián)社管理人員為管控重點(diǎn)���,縣級(jí)聯(lián)社以計(jì)算機(jī)安全管理員為重點(diǎn)管理對(duì)象�����,計(jì)算機(jī)安全管理員重點(diǎn)保障基層操作人員的正常業(yè)務(wù)操作�����,現(xiàn)從上到下���、從市到縣、從機(jī)關(guān)到網(wǎng)點(diǎn)的逐級(jí)有序管理��,使科技工作風(fēng)險(xiǎn)管控的觸角延伸到每一個(gè)網(wǎng)點(diǎn)��,到每一項(xiàng)業(yè)務(wù)的正常開展����。
四是要建立相應(yīng)的激勵(lì)機(jī)制��。要從“業(yè)務(wù)發(fā)展����,科技為先”的戰(zhàn)略高度上認(rèn)識(shí)�,建立科學(xué)合理的薪酬激勵(lì)機(jī)制,在物質(zhì)待遇上給予保證�,建立科學(xué)的短期、中期��、長(zhǎng)期的崗位目標(biāo)��,才能起到激勵(lì)作用����,使從事科技特殊崗位的人員在心理上得到平衡�。
(二)加強(qiáng)信息科技風(fēng)險(xiǎn)防范的制度建設(shè)和執(zhí)行
是整合和健全信息科技風(fēng)險(xiǎn)管理制度。按照新《指引》要求��,對(duì)可能出現(xiàn)的管理漏洞等問(wèn)題�,查缺補(bǔ)漏,調(diào)整優(yōu)化�����,嚴(yán)格評(píng)估信息安全內(nèi)控體系的完整性和實(shí)施的有效性,對(duì)科技風(fēng)險(xiǎn)管理制度和操作規(guī)程進(jìn)行梳理和歸類��,堵塞漏洞��,使其具有系統(tǒng)性和可操作性��。
二是加大科技投入��,采用先進(jìn)技術(shù)防范措施�����,保證制度的貫徹執(zhí)行���。要積極推廣應(yīng)用指紋認(rèn)證系統(tǒng)�����,建立有效的管理用戶認(rèn)證和訪問(wèn)控制機(jī)制�����,使用戶對(duì)數(shù)據(jù)和系統(tǒng)訪問(wèn)必須選擇與信息訪問(wèn)級(jí)別相匹配的認(rèn)證機(jī)制�����,確保密匙使用安全;要通過(guò)風(fēng)險(xiǎn)預(yù)警和客戶評(píng)價(jià)系統(tǒng)���,提高技術(shù)防范手段���,加強(qiáng)后臺(tái)監(jiān)督,嚴(yán)格控制操作風(fēng)險(xiǎn);要通過(guò)改善門禁系統(tǒng)�、防雷、消防等硬件設(shè)施�,發(fā)展和使用計(jì)算機(jī)加密技術(shù)、訪問(wèn)控制技術(shù)����、“防火墻”技術(shù)、病毒防治技術(shù)和監(jiān)控技術(shù)�����,筑起多道計(jì)算機(jī)安全防范屏障�����,以科技技術(shù)保障制度的落實(shí)�����。三是加強(qiáng)員工培訓(xùn)學(xué)習(xí)�����,強(qiáng)化防范操作風(fēng)險(xiǎn)執(zhí)行力度���。要強(qiáng)化信息安全思想教育����,強(qiáng)調(diào)科技風(fēng)險(xiǎn)防范人人有責(zé)��,安全性和便利性要由大家形成共識(shí)的折中�����,每個(gè)人都要承擔(dān)安全責(zé)任;要重點(diǎn)抓好網(wǎng)點(diǎn)一線臨柜人員計(jì)算機(jī)知識(shí)的普及和定期輪訓(xùn)培訓(xùn)工作�����,嚴(yán)格落實(shí)上崗資格考試�、崗位輪換和強(qiáng)制休假制度;要對(duì)業(yè)務(wù)操作人員按照權(quán)限、責(zé)任范圍實(shí)行嚴(yán)格的限制��,相互制約、互相監(jiān)督��,防止權(quán)限過(guò)于集中���,避免出現(xiàn)管理空檔;科技工作人員要以高度的責(zé)任心和使命感��,腳踏實(shí)地的工作態(tài)度���,立足崗位,做好本職工作�,不斷更新現(xiàn)有知識(shí)架構(gòu),積極學(xué)習(xí)新業(yè)務(wù)�、新知識(shí),全面提高自身素養(yǎng)�,為更好地做好科技工作夯實(shí)基礎(chǔ)。
(三)加強(qiáng)信息科技風(fēng)險(xiǎn)防范的審計(jì)檢查和監(jiān)督
一是要探索信息科技風(fēng)險(xiǎn)監(jiān)測(cè)手段�。積極探索信息系統(tǒng)風(fēng)險(xiǎn)識(shí)別、監(jiān)測(cè)和控制的技術(shù)和手段��,及時(shí)發(fā)現(xiàn)信息系統(tǒng)的風(fēng)險(xiǎn)�,并進(jìn)行整改和補(bǔ)救。目前�����,市中心在機(jī)房斷電�、柜員簽退等方面開發(fā)了短信監(jiān)控平臺(tái)、柜員簽退實(shí)時(shí)監(jiān)控系統(tǒng)��,在這方面做出了有益地探索��。
二是加強(qiáng)科技信息風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查,及時(shí)糾正問(wèn)題和消除隱患��。要著手開發(fā)信息系統(tǒng)的現(xiàn)場(chǎng)檢查程序��,建立檢查制度�,綜合運(yùn)用數(shù)據(jù)檢查、情景模擬或聯(lián)網(wǎng)檢查的手段����,及時(shí)查找和發(fā)現(xiàn)信息系統(tǒng)的問(wèn)題和不足。三是要加強(qiáng)外部審計(jì)監(jiān)督�����。建立信息科技風(fēng)險(xiǎn)管理交流平臺(tái)�,對(duì)信息系統(tǒng)的研發(fā)、運(yùn)行及退出的全過(guò)程進(jìn)行審計(jì)��,對(duì)可能發(fā)生的信息科技安全事故進(jìn)行調(diào)查、分析和評(píng)估�,及時(shí)識(shí)別、監(jiān)測(cè)和防范信息科技風(fēng)險(xiǎn)����。同時(shí),與人民銀行���、銀監(jiān)部門協(xié)調(diào)溝通��,加強(qiáng)資源集成�����,提高信息科技風(fēng)險(xiǎn)監(jiān)管合力��,定期對(duì)信息科技系統(tǒng)全面性����、安全性�、完整性和可靠性進(jìn)行審計(jì)和評(píng)價(jià),全面����、深入地反映信息系統(tǒng)的整體狀況和主要風(fēng)險(xiǎn)�,查找漏洞�����,確定相應(yīng)的整改措施����。也可適時(shí)引入社會(huì)力量��,委托外部IT審計(jì)部門開展信息系統(tǒng)的外部評(píng)價(jià)和審計(jì)�,促進(jìn)信息系統(tǒng)自身和相關(guān)管理水平的提高。
(四)加強(qiáng)信息科技風(fēng)險(xiǎn)防范的重點(diǎn)環(huán)節(jié)
一是要提高信息系統(tǒng)運(yùn)行保障能力����。要加大科技軟硬件設(shè)施投入,消除單點(diǎn)故障隱患�,要了解掌握各類業(yè)務(wù)系統(tǒng)、信息化建設(shè)��、安全管理��、消防等多方位�、全方面的知識(shí),按照標(biāo)準(zhǔn)化要求實(shí)施信息化建設(shè)�,正在建設(shè)機(jī)房的縣級(jí)聯(lián)社要科學(xué)、合理地進(jìn)行機(jī)房建設(shè)施工,機(jī)房不達(dá)標(biāo)的縣級(jí)聯(lián)社要逐步進(jìn)行設(shè)備設(shè)施更新改造�����,夯實(shí)信息科技風(fēng)險(xiǎn)防范的基礎(chǔ)��。
二是完善信息系統(tǒng)安全運(yùn)行體系���。設(shè)立信息科技風(fēng)險(xiǎn)管理崗位����,嚴(yán)格執(zhí)行開發(fā)����、運(yùn)行、維護(hù)等崗位分離及關(guān)鍵崗位的A���、B角配備;要做好生產(chǎn)系統(tǒng)維護(hù)和保護(hù)工作�,尤其是要加強(qiáng)前機(jī)�����、路由器和交換機(jī)的檢查�,注重外網(wǎng)的安全性���,嚴(yán)禁傳輸敏感數(shù)據(jù),非敏感數(shù)據(jù)通過(guò)互聯(lián)網(wǎng)傳輸�����,要嚴(yán)防黑客攻擊��,要做好應(yīng)對(duì)網(wǎng)絡(luò)攻擊相關(guān)準(zhǔn)備和實(shí)時(shí)監(jiān)測(cè)工作;對(duì)機(jī)房�、網(wǎng)絡(luò)設(shè)備��、主機(jī)設(shè)備�����、網(wǎng)絡(luò)及數(shù)據(jù)訪問(wèn)����、科技人員操作風(fēng)險(xiǎn)等方面進(jìn)行全面安全評(píng)估。
三是加強(qiáng)業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)管控���。對(duì)由于IT系統(tǒng)的缺陷和不足�,省中心正在逐步進(jìn)行改進(jìn)和升級(jí)�,各級(jí)科技管理部門要認(rèn)真配合組織實(shí)施����,對(duì)于系統(tǒng)問(wèn)題引發(fā)的問(wèn)題以及錯(cuò)誤�����,要總結(jié)教訓(xùn)并認(rèn)真整改����,做到人員控制、制度控制�����、系統(tǒng)控制三到位�����。
四是要加強(qiáng)溝通��,做好應(yīng)急處理�����。要進(jìn)一步加強(qiáng)與監(jiān)管部門�、人民銀行�、電信運(yùn)營(yíng)商以及設(shè)備廠商等外部單位之間的溝通協(xié)調(diào)����,確保信息系統(tǒng)事件發(fā)生時(shí)外部協(xié)作的及時(shí)有效。制定應(yīng)急預(yù)案并定期組織演練���,從應(yīng)急響應(yīng)���、應(yīng)急決策、應(yīng)急預(yù)案等方面做好應(yīng)急工作��,提高應(yīng)急處能力�����,提高抗風(fēng)險(xiǎn)能力和突發(fā)事件應(yīng)對(duì)能力�����。
一�、當(dāng)前農(nóng)村信用社信息科技風(fēng)險(xiǎn)管理中存在的主要問(wèn)題目前農(nóng)村信用社對(duì)信息科技風(fēng)險(xiǎn)的管理相對(duì)薄弱����,管理層缺乏對(duì)信息科技的關(guān)注和統(tǒng)籌安排��,對(duì)信息科技的風(fēng)險(xiǎn)了解不多��,導(dǎo)致一些風(fēng)險(xiǎn)事項(xiàng)時(shí)有發(fā)生�,存在以下幾個(gè)突出問(wèn)題��。
(一)對(duì)信息科技風(fēng)險(xiǎn)認(rèn)識(shí)不到位�。從調(diào)查發(fā)現(xiàn),信息科技管理部門人員配備不足�,參加信息科技風(fēng)險(xiǎn)培訓(xùn)較少,缺少完整���、系統(tǒng)的信息科技風(fēng)險(xiǎn)的概念和相關(guān)知識(shí)�,對(duì)自身運(yùn)營(yíng)的業(yè)務(wù)系統(tǒng)����、機(jī)房管理、ATM等實(shí)體系統(tǒng)認(rèn)識(shí)較深�����,對(duì)信息科技項(xiàng)目開發(fā)和變更管理情況��、業(yè)務(wù)持續(xù)性計(jì)劃等認(rèn)識(shí)較為膚淺�����,部分人員甚至在信息科技風(fēng)險(xiǎn)就是保證業(yè)務(wù)系統(tǒng)正常運(yùn)轉(zhuǎn)的錯(cuò)誤觀念,極易忽視了自身各級(jí)系統(tǒng)的漏洞和隱患排查���、除險(xiǎn)�。
(二)組織機(jī)構(gòu)及崗位設(shè)不到位��。各級(jí)管理層沒有成立相關(guān)信息科技風(fēng)險(xiǎn)管理的領(lǐng)導(dǎo)和決策機(jī)構(gòu)����,科技部門獨(dú)立于其它業(yè)務(wù)部門之外現(xiàn)象比較普遍人員數(shù)量不足,系統(tǒng)開發(fā)���、技術(shù)支持、系統(tǒng)操作維護(hù)和系統(tǒng)安全不能嚴(yán)格分開�����,主要技術(shù)支持崗位未實(shí)現(xiàn)崗位定期輪換�����。缺乏專門的技術(shù)風(fēng)險(xiǎn)管理部門或崗位進(jìn)行有效的監(jiān)督約束���,不能有效識(shí)別并量化可能存在的信息科技風(fēng)險(xiǎn)因素����。
(三)制度制定與制度執(zhí)行不到位。很多單位不能嚴(yán)格執(zhí)行相關(guān)計(jì)算機(jī)應(yīng)用管理制度和中心機(jī)房管理規(guī)定�����,項(xiàng)目資料文檔不完整��,缺少部分年度的項(xiàng)目資料文檔��,有的對(duì)機(jī)房運(yùn)行日志未按規(guī)定進(jìn)行登記����,部分新型設(shè)備購(gòu)買后未及時(shí)更新相關(guān)的管理制度,制度沒有隨著信息資產(chǎn)的升級(jí)而更新����,不能起到防范風(fēng)險(xiǎn)的作用。
(四)外部制約與風(fēng)險(xiǎn)控制環(huán)節(jié)不到位�。轄內(nèi)所有法人機(jī)構(gòu)及營(yíng)業(yè)網(wǎng)點(diǎn)均未接受有關(guān)信息科技風(fēng)險(xiǎn)的外部評(píng)估,部分機(jī)構(gòu)向監(jiān)管部門提供的審計(jì)檢查報(bào)告多是在信息科技人員自我評(píng)價(jià)的基礎(chǔ)上形成的�����,這種“既當(dāng)運(yùn)動(dòng)員又當(dāng)裁判員”的評(píng)估,易給金融機(jī)構(gòu)帶來(lái)信息科技審計(jì)制約風(fēng)險(xiǎn)����。尤其是項(xiàng)目開發(fā)外包管理缺乏有效的風(fēng)險(xiǎn)防范手段,沒有經(jīng)常性的對(duì)外包服務(wù)商近期經(jīng)營(yíng)狀況和提供的服務(wù)狀況進(jìn)行評(píng)價(jià)和報(bào)告�,缺乏對(duì)外包商有效的監(jiān)督和約束;沒有正式經(jīng)過(guò)批準(zhǔn)的針對(duì)外包服務(wù)商的應(yīng)急方案和解除服務(wù)方案���。業(yè)務(wù)需求部門隨意性強(qiáng)����,系統(tǒng)變更與投產(chǎn)過(guò)于頻繁����,增大了開發(fā)與維護(hù)人員工作壓力,也影響了前臺(tái)業(yè)務(wù)質(zhì)量��。
(五)科技信息衍生品風(fēng)險(xiǎn)管理不到位����。隨著銀行卡業(yè)務(wù)的迅速擴(kuò)張和競(jìng)爭(zhēng)的日趨激烈���,有關(guān)銀行卡方面的投訴�����、糾紛�����、案件頻發(fā)����,銀行卡業(yè)務(wù)風(fēng)險(xiǎn)處于多發(fā)、高發(fā)期����。銀行卡業(yè)務(wù)主要風(fēng)險(xiǎn)包括:通過(guò)ATM機(jī)取現(xiàn)、POS機(jī)套現(xiàn)(消費(fèi))或網(wǎng)絡(luò)(電話)轉(zhuǎn)賬等形式而發(fā)生的外部欺詐風(fēng)險(xiǎn)�;特約商戶非法交易或違章操作引起持卡人或發(fā)卡機(jī)構(gòu)資金損失的中介機(jī)構(gòu)職務(wù)之便與不法分子勾結(jié)、串通作案造成的內(nèi)部操作風(fēng)險(xiǎn)��。這些風(fēng)險(xiǎn)不僅對(duì)客戶及銀行的資金安全造成威脅�,對(duì)銀行的聲譽(yù)也造成了嚴(yán)重影響。
二�、加強(qiáng)信息科技風(fēng)險(xiǎn)防范的對(duì)策
(一)加強(qiáng)培訓(xùn)學(xué)習(xí)的頻度和濃度。要結(jié)合銀監(jiān)會(huì)有關(guān)銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理文件要求�,組織對(duì)轄內(nèi)信息科技人員培訓(xùn)���、學(xué)習(xí)和貫徹。重點(diǎn)學(xué)習(xí)好201*年以來(lái)銀監(jiān)會(huì)下發(fā)的有關(guān)信息科技風(fēng)險(xiǎn)監(jiān)管方面的文件�,目的就是通過(guò)系統(tǒng)地學(xué)習(xí)和培訓(xùn),讓相關(guān)人員掌握銀監(jiān)會(huì)有關(guān)信息風(fēng)險(xiǎn)監(jiān)管的要求����,自覺地在工作中貫徹執(zhí)行。多組織轄內(nèi)員工收看銀監(jiān)會(huì)有關(guān)信用卡收單風(fēng)險(xiǎn)管理培訓(xùn)等方面的講座�。
(二)建立多種層面的防范聯(lián)動(dòng)協(xié)機(jī)制。一是要建立各級(jí)信息科技負(fù)責(zé)人聯(lián)席會(huì)議制度�,及時(shí)傳達(dá)學(xué)習(xí)銀監(jiān)會(huì)和山東銀監(jiān)局信息科技風(fēng)險(xiǎn)監(jiān)管文件、要求����,開展經(jīng)驗(yàn)交流,共同研究和解決工作中出現(xiàn)的新問(wèn)題��、新情況�����。二是要建立統(tǒng)計(jì)信息部門與各業(yè)務(wù)部門之間的聯(lián)動(dòng)機(jī)制���,實(shí)現(xiàn)各部門間的防范優(yōu)勢(shì)互補(bǔ)和信息共享��,形成監(jiān)管合力��。三是各銀行業(yè)機(jī)構(gòu)也要建立內(nèi)部信息科技風(fēng)險(xiǎn)的協(xié)調(diào)機(jī)制�,由一名行級(jí)領(lǐng)導(dǎo)牽頭成立協(xié)調(diào)組織機(jī)構(gòu)���,將信息科技作為各業(yè)務(wù)條線的結(jié)合點(diǎn)��,統(tǒng)籌研究��,明確責(zé)任���,自查本行信息科技方面存在的問(wèn)題,遇到內(nèi)部不能協(xié)調(diào)解決的問(wèn)題時(shí)�����,要及時(shí)同監(jiān)管部門溝通���,共同解決����。
(三)完善信息科技風(fēng)險(xiǎn)內(nèi)控制度�����。要按照銀監(jiān)會(huì)《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》的要求,對(duì)可能出現(xiàn)的管理漏洞和執(zhí)行不嚴(yán)等問(wèn)題��,查缺補(bǔ)漏�����,調(diào)整優(yōu)化����,嚴(yán)格評(píng)估信息安全內(nèi)控體系的完整性和實(shí)施的有效性。轄內(nèi)各機(jī)構(gòu)����、各網(wǎng)點(diǎn)要主動(dòng)開展一次內(nèi)部審計(jì),有條件的法人機(jī)構(gòu)要開展一次外部審計(jì)���。要嚴(yán)格按照銀監(jiān)會(huì)要求和部署���,適時(shí)組織開展對(duì)轄內(nèi)機(jī)構(gòu)信息科技風(fēng)險(xiǎn)狀況的現(xiàn)場(chǎng)檢查。(四)加強(qiáng)銀行卡��、POS機(jī)市場(chǎng)營(yíng)銷和電子銀行類業(yè)務(wù)的風(fēng)險(xiǎn)防范�。近幾年�,銀行卡和電子銀行業(yè)務(wù)方面的風(fēng)險(xiǎn)防范形勢(shì)較為嚴(yán)峻����,犯罪分子利用銀行卡��、網(wǎng)上銀行����、ATM、POS等金融機(jī)具實(shí)施的不法活動(dòng)日益增加�����,犯罪手段在不斷翻新��。各級(jí)農(nóng)村信社要密切關(guān)注并采取必要的手段防范可能出現(xiàn)的風(fēng)險(xiǎn)���。要加大消費(fèi)者的風(fēng)險(xiǎn)提示�,通過(guò)公眾金融服務(wù)教育提高消費(fèi)者的風(fēng)險(xiǎn)意識(shí)�。不斷加大技術(shù)手段防范,通過(guò)網(wǎng)上銀行實(shí)施雙重身份認(rèn)證�,限制電子銀行、POS或ATM轉(zhuǎn)賬交易金融等方式加強(qiáng)管理��,并加強(qiáng)對(duì)上述渠道的監(jiān)控監(jiān)測(cè)。要按照銀聯(lián)銀行內(nèi)卡業(yè)務(wù)一柜一機(jī)的要求��,禁止通過(guò)各種不正當(dāng)方式進(jìn)行無(wú)序競(jìng)爭(zhēng)�����。嚴(yán)禁為推行發(fā)卡量���、POS機(jī)具數(shù)量而放松審查�����,使不法商戶非法套現(xiàn)�、編造虛假資料套取銀聯(lián)機(jī)具�、POS機(jī)具異地安裝等行為有可乘之機(jī)。還要充分借助特約商戶的力量和社會(huì)舉報(bào)力量��,增強(qiáng)風(fēng)險(xiǎn)防范合力�����。
(五)加強(qiáng)信息系統(tǒng)風(fēng)險(xiǎn)管理與防范���。各級(jí)農(nóng)村信用社要按照銀監(jiān)會(huì)下發(fā)的《關(guān)于北京奧運(yùn)會(huì)期間銀行信息科技風(fēng)險(xiǎn)提示的通知》以及《銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)奧運(yùn)專項(xiàng)自查要點(diǎn)》要求�����,做好業(yè)務(wù)服務(wù)連續(xù)性工作����,加強(qiáng)系統(tǒng)運(yùn)行安全管理,強(qiáng)化ATM機(jī)等自助設(shè)備安全防范工作��。要特別重社完善應(yīng)急管理機(jī)制����,從電力��、設(shè)備����、人力等各方面做好充分準(zhǔn)備,制訂�、修訂突發(fā)事件應(yīng)急處預(yù)案并加以演練或試行壓力測(cè)試,妥善處可能發(fā)生的各種突發(fā)事件�����,確保農(nóng)村信用社機(jī)構(gòu)信息系統(tǒng)可靠運(yùn)行��,保障各項(xiàng)業(yè)務(wù)正常運(yùn)轉(zhuǎn)、提高客戶服務(wù)水平�。
友情提示:本文中關(guān)于《農(nóng)信社風(fēng)險(xiǎn)管理問(wèn)題及建議》給出的范例僅供您參考拓展思維使用,農(nóng)信社風(fēng)險(xiǎn)管理問(wèn)題及建議:該篇文章建議您自主創(chuàng)作����。
來(lái)源:網(wǎng)絡(luò)整理 免責(zé)聲明:本文僅限學(xué)習(xí)分享,如產(chǎn)生版權(quán)問(wèn)題��,請(qǐng)聯(lián)系我們及時(shí)刪除�。
《
農(nóng)信社風(fēng)險(xiǎn)管理問(wèn)題及建議》由互聯(lián)網(wǎng)用戶整理提供,轉(zhuǎn)載分享請(qǐng)保留原作者信息,謝謝!
鏈接地址:http://www.seogis.com/gongwen/656283.html
