农信社风险管理问题及建议
农信社风险管理问题及建议
符学丽
合规已成为农村信用社内部一项核心的风险管理活动,合规风险逐渐成为除信用风险、市场风险和操作风险之外的农村信用社面临的重要风险。因此,银监部门的监管重点已从农村信用社体制监管逐步转移到合规经营上来,以力促合规经营为主要目标的合规风险管理工作成为今年农村信用社系统一大热点问题。但从目前工作进展情况来看,农村信用社合规风险管理还存在许多深层次的问题。就当前农村信用社的实际,及近二年我县联社在市办的各项检查情况,对如何完善农村信用社合规风险管理提出一系列改进建议。
一、农村信用社合规风险管理存在的主要问题
长期以来,农村信用社一直未将合规作为一个重要的风险源来管理,更没有将合规风险管理摆上应有的重要位置,从目前农村信用社开展的合规建设年和风险管理年活动情况看,农村信用社在合规风险管理中存在以下问题:
1、合规风险管理意识淡薄
根据今年以来强化合规知识教育提高案件防控力活动开展情况来看,相当一部分干部员工,对合规管理还没有充分的理解和认知,即使是合规部门从业人员,对今后合规工作怎样开展也拿捏不准。一些员工特别是基层职员,对于什么是合规,为什么要合规,怎样才能合规,还存在模糊的、甚至是错误的认识和做法。有的员工对当前推行的合规教育培训和考试存在被动应付的消极心理,对合规工作极为排斥,甚至将其与业务经营对立起来,将其视为一种负担,害怕合规风险管理进行下去会影响业务经营工作的开展。但事实上,由于管理层人员掌握着人力、物力、财力等大权,由其而引发的合规风险,其危害性要远远大于执行层操作人员。
2、合规风险管理机制不健全
在合规风险管理活动中,农村信用社开始着手建立合规风险管理体系,组建了相对独立的合规部门,配备了合规风险管理人员。但从目前情况看,农村信用社在合规风险管理机制上仍存在一定缺陷:一是合规管理没有完善、垂直的合规风险管理体制还没有完全形成。大多数农村信用社还没有成立独立的合规风险管理部门来对合规风险进行统筹管理,还没有形成横向到边、纵向到底的全面和全方位的合规风险管理架构。二是合规风险管理职责分散。
3、合规风险管理法规制度缺乏可操作性
近年来,通过改革发展,农村信用社在制度建设方面取得了长足进步,但执行力低下的问题使大量的制度形同虚设,导致案件频发。主要原因是农村信用社内部缺乏一个统一完整、全面科学的合规风险管理法规制度及操作规则,不少制度规定有粗略化、大致化、模糊化现象,缺乏可操作性。同时合规风险管理的激励约束机制不健全,奖励力度较小,惩罚措施较轻。一般情况下,只要没有损失或案件,对违规人员往往只采取教育、经济处罚和限期整改等措施,很少进行严厉处分,对于造成损失或酿成案件的人员,问责也不到位。
二、进一步加强农村信用社合规风险管理的政策建议
农村信用社合规风险管理建设尚处于起步阶段,要形成科学有效的合规管理机制仍需要一个不断积累和完善的过程。为彻底解决以上存在问题,促进农村信用社合规风险管理活动的顺利开展,真正提高合规风险管理水平,提出以下改进建议:
1、履行明确的合规管理职责
明确合规管理职责是构建合规风险管理运行机制的必要前提。合规管理职责的进一步明确,需要深入了解合规工作的特性。一是独立性;即合规部门须独立于各业务条线发挥作用。二是权威性;合规部门须在经营管理中发挥至关重要的作用,要向高管层提出经营管理中的合规意见和建议。三是全面性;合规管理工作须渗透到各业务单元和条线,与业务管理实现“无缝对接”。四是预警性;合规部门须对外部法律法规及时反应,向业务部门提供信息进行预警。五是动态性;合规风险预警、提示及对各类信息的反应须是动态的、实时的。六是协调性;合规部门与其他业务部门及内审部门的关系应当是协调合作,而不是“警察与小偷”的关系。
2、按照“高标准、高起点”的要求,加强合规风险管理的统一协调性。
合规风险管理对农村信用社来说还是一新事物,又是一个艰巨的系统工程,受人力、财力和自身创新能力所限,以县为单位的联社很难独立构建起真正的合规风险管理体系,难以发挥合规风险管理对业务经营的正向促进作用。因此,建议农村信用社省市级管理机构,从省市农村信用社全局出发,自上而下的集中创新一套全面、系统、专业和统一的合规风险识别、评估、监测和防范体系,经试点后,在全省集中推广,以省或市为单位构建起全省农村信用社合规风险管理体系。
3、实施严格的合规管理制度建立诚信举报机制,就是要让那些不守规矩、不讲诚信的人有一种外在的压力,让他们知道还有一双双眼睛盯着,促进他们在思想上时刻牢记、行为上处处体现银行业金融机构最高标准的职业操守,把合规管理部门作为诚信举报的重要渠道之一,建立违规举报机制,为内部员工举报违规、违法行为提供必要的渠道和途径,并对举报人进行有效保护。
4、建设高素质的员工队伍,奠定实施合规风险管理的人力资源基础在合规风险管理中,人是合规风险管理实践活动的主体,需要充分发挥积极性创造性主动性;同时,人又是合规风险管理实践的首要对象,人的风险是最大的风险,要实现两者的有机统一,必须建立一支高素质的风险管理队伍。要广泛深入开展合规风险管理活动,通过开展诸如学习会、讨论会、征文比赛、考试测试等一系列员工乐于接受的活动形式,广泛深入的教育广大员工,增强员工自主合规意识,培育良好合规文化,提高员工执行力,确保各项法律法规规定在农村信用社的贯彻落实。建立起一支适用于合规合规风险管理的专业化人才团队,切实提高农村信用社合规风险管理水平,促进业务经营的健康发展。5、营造健康有序的合规风险文化氛围
营造健康有序的合规文化氛围是合规风险管理最难以把握,但却能深深影响银行每位员工合规意识的工作。要树立主动合规的合规文化,倡导主动发现和暴露合规风险隐患或问题,并相应地在业务政策、行为手册和操作程序上进行适当的改进。过去那种“以习惯代替制度,以情面代替处罚”的旧的文化一定要加以摒弃,取而代之的正应当是主动合规、自觉合规、上下合规、内外合规的全面合规时代的到来。
扩展阅读:农村信用社信息科技风险管理存在的问题及建议
基层农村信用社信息科技风险管理
存在的问题及建议
随着农信社信息化的发展,信息科技的作用已从业务支持逐步走向与业务的融合,并成为农信社稳健运营和发展的支柱,然而,对于信息科技风险管控尚处于起步阶段,如何最大限度地防范信息科技风险,充分享受信息科技带来的便捷和效率,已成为当前我们必须认真研究的一个重要课题,信息科技风险防范工作亟待加强。为此,近期临夏银监分局深入辖内信用社,了解信息科技风险管理情况,掌握信息科技风险管理水平,督促其建立有效的信息科技风险管理机制,增强信息科技风险的控制能力。
一、当前农村信用社信息科技风险管理存在的主要问题信息科技,是指商业银行采用计算机、通信、微电子和软件工程等现代信息技术,在业务交易处理、经营管理和内部控制等方面的应用,并包括专项治理、建立完整的管理组织架构、制定完善的管理策略和制度。信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。由于近年来农村信用社各项业务快速发展,信息化水平的不断提高,新设备、新技术、新程序的大量应用,信息科技风险防范工作亦面临着新的形势、新的情况和新的问题,呈现出多元发展的趋势其风险范畴也从单一的技术领域延伸至投资、经营、管理的各个层面。
(一)信息科技治理管理架构存在缺陷。
一是思想认识不到位。目前,基层农信联社管理层普遍存在着重视信息科技建设、轻信息科技管理,重信息科技建设的档次提升、轻信息科技风险防范,重眼前业务发展、轻长期信息科技发规划等问题,缺乏对信息科技的关注和统筹安排,对信息科技的风险了解不多,信息科技工作的实际地位在基层信用社是“说起来重要、做起来急着要,排起队来次要,出了问题什么都不要”,信息科技风险管理相对薄弱。二是制度制定、执行不到位。信用社制订的信息科技制度分散于其他管理制度中,不具系统性,且操作性也不强,没有形成一整套完善有效的信息科技风险管理制度。即便是制定了一些制度,但落实不到位,制度的约束性形同虚设。
(二)机制保障及应急预案有待完善。
农信社网点机构的应急预案仅停留在形式上。尽管各社制定了系统应急预案,但仍有部分社从未进行过应急演练,也没有进行过压力测试,并不能保证及时处事故或紧急事件;部分社应急预案涵盖面过大,缺乏针对性和操作性,影响应急预案的实效部分信用社业务连续性缺乏有效技术支持,且涵盖范围小,大部分局限在网络及数据的备份层次。此外,多数没有成立业务连续性管理委员会一类的领导组织,在发生业务连续性风险时,统一指挥、协调存在一定困难。重要信息系统的应急预案多数缺乏实践性检验,其可行性和可操作性不能得到有效保证。对于已制定的应急预案,没有覆盖全部信息系统、关键设施及相关业务保障部门,没有详细的操作方法和步骤,可操作性不强,影响应急预案的实效。
(三)信息科技人员力量薄弱。
一是科技力量相对薄弱。信息科技管理部门人员配备不足,科技人员数量与辖内网点数量严重不匹配,由此造成系统开发、技术支持、系统操作维护和系统安全岗位交叉,往往身兼数岗,关键岗位A、B角制度难以落实;技术支持岗位未能实现岗位定期轮换,缺乏专门的技术风险管理部门或岗位进行有效的监督约束,不能有效识别并量化可能存在的信息科技风险因素。
三是科技人员知识水平不高。大部分机构普遍存在缺乏专业高素质人员,而且随着信息化知识的更新步伐,科技队伍工作人员的学习培训跟不上知识更新步伐,参加信息科技风险培训较少,缺少完整、系统的信息科技风险的概念和相关知识,对自身运营的业务系统、机房管理等实体系统认识较深,对信息科技项目开发和变更管理情况、业务持续性计划等认识较为肤浅,部分人员甚至在信息科技风险就是保证业务系统正常运转的错误观念,极易忽视了自身各级系统的漏洞和隐患排查、除险,在认知上存在着对风险防范的盲区和误区。
四是一线操作人员风险意识淡薄。信息科技风险需要全员参与,上至高层领导的决策,下至每位临柜人员都是风险的防范者,但目前在一线操作人员中,尚未形成人人有责的共识,广大员工对信息安全的重要性若罔闻。
由于科技部门在农村信用社属于服务部门,部分高管层认为,科技部门只要能够保证设备及网络的正常运转,不出问题就可以。这一认识误区造成了科技部门的人员配备、机构设上相对其他部门处于弱势地位。例如:永靖县农村信用合作联社信息科技人员只有一名,基层社没有信息科技人员。他除了进行日常综合业务系统维护外,往往还要身兼数岗,关键岗位轮换、强制休假等制度难以落实,不能适应当前业务拓展与IT水平同步发展的需要。以此来看,农村信用社信息科技人员的配备与当前信息系统的高速发展不相匹配,这些都是容易导致信息科技风险发生的重大隐患。
(四)系统硬件建设存在安全隐患。一是机房管理有待加强。机房的防火和供电等方面达不到要求,机房没有设防雷系统,监控存在盲区、不设门禁系统;基层社对电子设备缺乏保养,大大影响使用效果和使用寿命,存在一定的技术风险。二是网络运行安全有待提高。省联社数据大集中后,基层农信社、县级联社到省联社的网络稳定性和通畅性极为重要,而其主、备通讯线路违反要求使用电信一家通讯公司线路,一旦一个网点出现问题,工作就会受到影响,存在潜在的声誉风险。
二、加强信息科技风险管理的对策建议
(一)提高思想认识,加大科技投入。信息科技工作是当前金融机构经营与监管的重要基础和技术保障,必须充分认识信息科技工作在金融业监管中的重要作用,切实加强对信息科技风险监管工作的组织领导。农村信用合作联社要提高思想认识,深刻理解信息科技风险管理的重要性,将信息科技风险管理纳入到全面风险管理之中。另外,还要根据现场检查发现的信息科技风险点,加大信息科技建设投入,积极整改,对设备老化、硬件设备不足等风险点要积极加以改进,及时消除信息科技系统中存在的各种风险和隐患,确保各项服务安全连续进行。
(二)完善应急预案,加强应急演练,提高系统响应能力。一是应定期、不定期开展信息科技人员应急管理培训,并根据自身规模、复杂程度及风险发生部位、概率和危害程度,及时组织信息科技应急预案演练,并不断修改完善应急预案内容,提高对各类突发事件的处能力。二是要高度重视,切实加强信息系统业务连续性管理,增强信息科技应急处能力。要严格按照《突发事件应对法》、《国家金融突发事件应急预案》等法律法规要求,结合自身实际,加快应急体系建设,加强业务持续性应急演练。三是进一步完善应急演练方案,切实提高应急水平和能力。要做到责任明确、流程明确、预案明确、报告明确、联络明确,制定切实可行、要件完备的应急方案。同时要加大应急方案的演练,熟练掌握各种应急手段,提高抗风险能力和突发事件应对能力,不断完善信息系统安全运行体系。
(三)充实科技监管队伍,加强内控管理。要采取切实措施,大量引进信息科技专业人员,加大信息科技人才培训力度,按照银监会《商业银行信息科技风险管理指引》的要求,充实信息科技审计力量,完善管理制度,严格按照管理、运行、维护等岗位配备人员,关键岗位必须配备AB角,真正做到人员控制、制度控制、系统控制三到位。要加强要害岗位管理,计算机业务数据录入员、系统管理员之间,应按照权力、责任范围实行严格的限制,相互制约、互相监督,严禁系统管理人员、网络技术人员和前台操作人员混岗、代岗或一人多岗。同时要制定信息科技风险审计办法,定期对信息科技风险状况进行审计评价,督促建立技术安全保障体系。要加大信息科技安全检查力度,定期和不定期进行安全检查,及时纠正问题和消除隐患。
(四)改善运行环境,加强信息科技风险培训。一是要采取有效措施,改善机房的供电系统和消防安全状况,按照机房建设要求增加防雷系统,更新核心业务系统设备,保证核心业务系统双机热备不间断工作;要完善运行值班制度,保证对核心业务系统及网络运行状况的有效监控,针对故障进行有效的预测和报警。二是要加大对信息科技风险的培训力度,建议抽调一些业务骨干进行专门的信息科技培训,通过对信息科技的专项培训,培养一批专门从事信息科技工作的干部,保障信息系统的安全、稳健运行。
随着农信社信息化的发展,信息科技的作用已从业务支持逐步走向与业务的融合,并成为农信社稳健运营和发展的支柱,然而,对于信息科技风险管控尚处于起步阶段,如何最大限度地防范信息科技风险,充分享受信息科技带来的便捷和效率,已成为当前我们必须认真研究的一个重要课题,信息科技风险防范工作亟待加强。
一、当前信息科技风险防范工作中存在的主要问题信息科技,是指商业银行采用计算机、通信、微电子和软件工程等现代信息技术,在业务交易处理、经营管理和内部控制等方面的应用,并包括专项治理、建立完整的管理组织架构、制定完善的管理策略和制度。信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。由于近年来农村信用社各项业务快速发展,信息化水平的不断提高,新设备、新技术、新程序的大量应用,信息科技风险防范工作亦面临着新的形势、新的情况和新的问题,呈现出多元发展的趋势其风险范畴也从单一的技术领域延伸至投资、经营、管理的各个层面。
(一)对信息科技风险认识不到位
一是思想认识不到位。目前,基层农信联社管理层普遍存在着重视信息科技建设、轻信息科技管理,重信息科技建设的档次提升、轻信息科技风险防范,重眼前业务发展、轻长期信息科技发规划等问题,缺乏对信息科技的关注和统筹安排,对信息科技的风险了解不多,信息科技工作的实际地位在基层信用社是“说起来重要、做起来急着要,排起队来次要,出了问题什么都不要”,信息科技风险管理相对薄弱。
二是科技力量相对薄弱。信息科技管理部门人员配备不足,科技人员数量与辖内网点数量严重不匹配,由此造成系统开发、技术支持、系统操作维护和系统安全岗位交叉,往往身兼数岗,关键岗位A、B角制度难以落实;技术支持岗位未能实现岗位定期轮换,缺乏专门的技术风险管理部门或岗位进行有效的监督约束,不能有效识别并量化可能存在的信息科技风险因素。
三是科技人员知识水平不高。大部分机构普遍存在缺乏专业高素质人员,而且随着信息化知识的更新步伐,科技队伍工作人员的学习培训跟不上知识更新步伐,参加信息科技风险培训较少,缺少完整、系统的信息科技风险的概念和相关知识,对自身运营的业务系统、机房管理等实体系统认识较深,对信息科技项目开发和变更管理情况、业务持续性计划等认识较为肤浅,部分人员甚至在信息科技风险就是保证业务系统正常运转的错误观念,极易忽视了自身各级系统的漏洞和隐患排查、除险,在认知上存在着对风险防范的盲区和误区。
四是一线操作人员风险意识淡薄。信息科技风险需要全员参与,上至高层领导的决策,下至每位临柜人员都是风险的防范者,但目前在一线操作人员中,尚未形成人人有责的共识,广大员工对信息安全的重要性若罔闻。
(二)信息科技风险管理制度不到位
一是管控体系不完善。虽然农村合作金融机构均成立了信息安全领导小组,但多数未真正实施起信息科技风险管理的领导决策职责,信息科技风险管控目标尚未确立,主要表现在多数农信社的理事会未制定信息科技发展的长远规划或发展策略,仅在每年股东大会或理事会季度例会上对信息科技设备的购作简要的说明,信息科技风险防范的目标几乎没有涉及。
二是管控制度不系统。部分基层联社没有制定专门的科技风险管理制度,有制度的又大多分散于其他管理制度中,不具有系统性,且操作性也不强,缺乏具体的识别、监测和控制风险的措施。
三是制度执行不到位。很多单位不能严格执行相关计算机应用管理制度和中心机房管理规定;有的对信息系统运行保障工作重视不够,未建立健全信息系统运行巡查制度,无法及时发现机房、主机、数据库等系统运行的异常情况及故障;有的对机房运行日志未按规定进行登记,文档不完整;部分新型设备购买后未及时更新相关的管理制度,制度没有随着信息资产的升级而更新,不能起到防范风险的作用;在基层网点操作人员未按制度进行授权操作,未按流程进行业务办理,制度人为地架空。
(三)信息科技风险管控不到位
一是风险管控操作不规范。目前基层一线大部分操作人员防范科技风险意识淡薄,安全认证和访问控制防范意识差,存在朴素地感情信任,出现违规上岗、共用柜员号、一人多号、不按规定更改密码、密码设简单、系统自录登录等问题;在授权管理上,存在交叉授权、授权未审核业务等问题,存在较大的风险隐患。而新注入的新生人员力量在大环境的影响下也未能严格按照制度执行,致使人为操作风险不能从根本上扭转。
二是风险管控职能不健全。农信社均设了风险管理部门,但基本上仅履行管控资产、负债类业务风险的职能,并未涵盖信息科技风险。科技风险管理工作主要由科技部门负责,而科技部门是信息系统的建设者和维护者,由其承担科技风险管理职能,缺少必要的技术人员和有效手段,内部审计不能形成有效的制衡机制。
三是外部制约控制不到位。辖内所有法人机构及营业网点均未接受有关信息科技风险的外部评估,各级机构向监管部门提供的审计检查报告多是在信息科技人员自我评价的基础上形成的,这种“既当运动员又当裁判员”的评估,易给农信社带来信息科技审计制约风险。
四是科技信息衍生品风险管理不到位。随着银行卡业务的迅速扩张和竞争的日趋激烈,有关银行卡方面的投诉、纠纷、案件频发,银行卡业务风险处于多发、高发期。银行卡业务主要风险包括:通过ATM机取现、POS机套现(消费)或网络(电话)转账等形式而发生的外部欺诈风险;特约商户非法交易或违章操作引起持卡人或发卡机构资金损失的中介机构职务之便与不法分子勾结、串通作案造成的内部操作风险。这些风险不仅对客户及银行的资金安全造成威胁,对银行的声誉也造成了严重影响。
(四)系统性管理不到位
一是科技硬件基础设施薄弱。目前,农信社机房的建设不达标,个别联社的机房简陋,甚至未达到国家机房建设的最低C级标准,已建成的新机房也因前期协调、资金等问题,存在漏洞,部分联社的机房防雷、消防等设施均未配备,一旦发生机房失火或雷击等突发性事故,核心业务系统或网络中枢将遭受损害;对于网络运行环境而言,数据大集中和前机后移,都需要极稳定的网络环境支撑,从乡镇到县中心机房,再到市、省中心,任何环节网络不畅都会导致业务的中断,农信社核心网络设备使用期限已达7年,且基层农信社也没购备用网络设备,一旦设备损坏,极易造成业务中断;现在农信社均实行了内、外网络的物理隔离,但对移动设备的管理缺乏有效的制约手段,极易导致外网病毒通过移动设备传播和感染到内网未打补丁包的windows类操作系统,这导致内网带宽被侵占,从而影响业务系统的运行。
二是系统软件设计存在缺陷。目前,农信社使用的IT系统的核心为综合业务系统和信贷管理系统,是由省中心开发的,基本能满足业务操作的需要,但这些系统风险管控功能、报表分析功能不强。如:综合业务管理平台的事后补救措施和升级在逐步开展,系统变更与投产过于频繁,增大了开发与维护人员工作压力,也影响了前台业务质量;信贷业务管理系统在设计时未能考虑银监部门信贷风险控制的基本要求,没有设贷款集中度风险、集团授信风险等风险提示模块,从而导致系统无法适时提示上述风险;业务流程控制缺陷较多,部分信贷业务办理不受信贷管理系统控制,信贷管理系统对贴现科目控制存在漏洞,贴现科目无需信贷管理系统授权,通过综合业务系统的会计前台即可办理该项业务,既无制约功能,也不能信息共享等问题。
三是应急预案不完善。农新社网点机构的应急预案仅停留在形式上。尽管各社制定了系统应急预案,但仍有部分社从未进行过应急演练,也没有进行过压力测试,并不能保证及时处事故或紧急事件;部分社应急预案涵盖面过大,缺乏针对性和操作性,影响应急预案的实效。
二、加强农信社科技信息风险防控的对策和建议农信社应按照《商业银行信息科技风险管理指引》要求,从业务需求出发,加强信息科技风险管控,从“要我做”变为“我要做”,做到事前有预防、事中有控制和事后有检查,将技术防范为主的被动信息安全工作,转变为以预防为主的主动信息科技风险管控。
(一)加强信息科技风险防范的组织领导和队伍建设一是各级领导要站在维护社会秩序和促进农信社发展的高度,充分认识信息科技安全的紧迫性和重要性,要看到农信社的现状和未来,要看到近几年农信社信息化得迅速发展和展望未来的广大前景,要充分认识IT价值,要明确信息科技风险管理目标,要将信息科技风险纳入自身的总体风险框架,联社理事长作为信息科技风险的第一责任人,负责组织贯彻落实。
二是完善信息科技风险管理机制。要处理好业务发展与信息科技风险防范之间的关系,建立全系统自上而下的信息科技风险管理体系,实现对信息科技风险的识别、计量、监测和控制,严格落实相关责任制和事故追究责任制,积极采取措施消除信息科技风险重大隐患,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
三是建立相应的激励和约束机制,打造一支稳定、团结、高效的科技队伍。首先,要加强职业道德和法律法规教育,提高科技队伍的思想政治素质,严格要害岗位人员的审查,从思想上筑起一道防范信息科技风险的“防火墙”;其次,要实施科技人员梯队管理。要将全市科技人员按照管理人员、计算机安全管理员、计算机操作人员进行分类管理,按照市、县两级组织实施级别管理,市级以县级联社管理人员为管控重点,县级联社以计算机安全管理员为重点管理对象,计算机安全管理员重点保障基层操作人员的正常业务操作,现从上到下、从市到县、从机关到网点的逐级有序管理,使科技工作风险管控的触角延伸到每一个网点,到每一项业务的正常开展。
四是要建立相应的激励机制。要从“业务发展,科技为先”的战略高度上认识,建立科学合理的薪酬激励机制,在物质待遇上给予保证,建立科学的短期、中期、长期的岗位目标,才能起到激励作用,使从事科技特殊岗位的人员在心理上得到平衡。
(二)加强信息科技风险防范的制度建设和执行
是整合和健全信息科技风险管理制度。按照新《指引》要求,对可能出现的管理漏洞等问题,查缺补漏,调整优化,严格评估信息安全内控体系的完整性和实施的有效性,对科技风险管理制度和操作规程进行梳理和归类,堵塞漏洞,使其具有系统性和可操作性。
二是加大科技投入,采用先进技术防范措施,保证制度的贯彻执行。要积极推广应用指纹认证系统,建立有效的管理用户认证和访问控制机制,使用户对数据和系统访问必须选择与信息访问级别相匹配的认证机制,确保密匙使用安全;要通过风险预警和客户评价系统,提高技术防范手段,加强后台监督,严格控制操作风险;要通过改善门禁系统、防雷、消防等硬件设施,发展和使用计算机加密技术、访问控制技术、“防火墙”技术、病毒防治技术和监控技术,筑起多道计算机安全防范屏障,以科技技术保障制度的落实。三是加强员工培训学习,强化防范操作风险执行力度。要强化信息安全思想教育,强调科技风险防范人人有责,安全性和便利性要由大家形成共识的折中,每个人都要承担安全责任;要重点抓好网点一线临柜人员计算机知识的普及和定期轮训培训工作,严格落实上岗资格考试、岗位轮换和强制休假制度;要对业务操作人员按照权限、责任范围实行严格的限制,相互制约、互相监督,防止权限过于集中,避免出现管理空档;科技工作人员要以高度的责任心和使命感,脚踏实地的工作态度,立足岗位,做好本职工作,不断更新现有知识架构,积极学习新业务、新知识,全面提高自身素养,为更好地做好科技工作夯实基础。
(三)加强信息科技风险防范的审计检查和监督
一是要探索信息科技风险监测手段。积极探索信息系统风险识别、监测和控制的技术和手段,及时发现信息系统的风险,并进行整改和补救。目前,市中心在机房断电、柜员签退等方面开发了短信监控平台、柜员签退实时监控系统,在这方面做出了有益地探索。
二是加强科技信息风险现场检查,及时纠正问题和消除隐患。要着手开发信息系统的现场检查程序,建立检查制度,综合运用数据检查、情景模拟或联网检查的手段,及时查找和发现信息系统的问题和不足。三是要加强外部审计监督。建立信息科技风险管理交流平台,对信息系统的研发、运行及退出的全过程进行审计,对可能发生的信息科技安全事故进行调查、分析和评估,及时识别、监测和防范信息科技风险。同时,与人民银行、银监部门协调沟通,加强资源集成,提高信息科技风险监管合力,定期对信息科技系统全面性、安全性、完整性和可靠性进行审计和评价,全面、深入地反映信息系统的整体状况和主要风险,查找漏洞,确定相应的整改措施。也可适时引入社会力量,委托外部IT审计部门开展信息系统的外部评价和审计,促进信息系统自身和相关管理水平的提高。
(四)加强信息科技风险防范的重点环节
一是要提高信息系统运行保障能力。要加大科技软硬件设施投入,消除单点故障隐患,要了解掌握各类业务系统、信息化建设、安全管理、消防等多方位、全方面的知识,按照标准化要求实施信息化建设,正在建设机房的县级联社要科学、合理地进行机房建设施工,机房不达标的县级联社要逐步进行设备设施更新改造,夯实信息科技风险防范的基础。
二是完善信息系统安全运行体系。设立信息科技风险管理岗位,严格执行开发、运行、维护等岗位分离及关键岗位的A、B角配备;要做好生产系统维护和保护工作,尤其是要加强前机、路由器和交换机的检查,注重外网的安全性,严禁传输敏感数据,非敏感数据通过互联网传输,要严防黑客攻击,要做好应对网络攻击相关准备和实时监测工作;对机房、网络设备、主机设备、网络及数据访问、科技人员操作风险等方面进行全面安全评估。
三是加强业务系统风险管控。对由于IT系统的缺陷和不足,省中心正在逐步进行改进和升级,各级科技管理部门要认真配合组织实施,对于系统问题引发的问题以及错误,要总结教训并认真整改,做到人员控制、制度控制、系统控制三到位。
四是要加强沟通,做好应急处理。要进一步加强与监管部门、人民银行、电信运营商以及设备厂商等外部单位之间的沟通协调,确保信息系统事件发生时外部协作的及时有效。制定应急预案并定期组织演练,从应急响应、应急决策、应急预案等方面做好应急工作,提高应急处能力,提高抗风险能力和突发事件应对能力。
一、当前农村信用社信息科技风险管理中存在的主要问题目前农村信用社对信息科技风险的管理相对薄弱,管理层缺乏对信息科技的关注和统筹安排,对信息科技的风险了解不多,导致一些风险事项时有发生,存在以下几个突出问题。
(一)对信息科技风险认识不到位。从调查发现,信息科技管理部门人员配备不足,参加信息科技风险培训较少,缺少完整、系统的信息科技风险的概念和相关知识,对自身运营的业务系统、机房管理、ATM等实体系统认识较深,对信息科技项目开发和变更管理情况、业务持续性计划等认识较为肤浅,部分人员甚至在信息科技风险就是保证业务系统正常运转的错误观念,极易忽视了自身各级系统的漏洞和隐患排查、除险。
(二)组织机构及岗位设不到位。各级管理层没有成立相关信息科技风险管理的领导和决策机构,科技部门独立于其它业务部门之外现象比较普遍人员数量不足,系统开发、技术支持、系统操作维护和系统安全不能严格分开,主要技术支持岗位未实现岗位定期轮换。缺乏专门的技术风险管理部门或岗位进行有效的监督约束,不能有效识别并量化可能存在的信息科技风险因素。
(三)制度制定与制度执行不到位。很多单位不能严格执行相关计算机应用管理制度和中心机房管理规定,项目资料文档不完整,缺少部分年度的项目资料文档,有的对机房运行日志未按规定进行登记,部分新型设备购买后未及时更新相关的管理制度,制度没有随着信息资产的升级而更新,不能起到防范风险的作用。
(四)外部制约与风险控制环节不到位。辖内所有法人机构及营业网点均未接受有关信息科技风险的外部评估,部分机构向监管部门提供的审计检查报告多是在信息科技人员自我评价的基础上形成的,这种“既当运动员又当裁判员”的评估,易给金融机构带来信息科技审计制约风险。尤其是项目开发外包管理缺乏有效的风险防范手段,没有经常性的对外包服务商近期经营状况和提供的服务状况进行评价和报告,缺乏对外包商有效的监督和约束;没有正式经过批准的针对外包服务商的应急方案和解除服务方案。业务需求部门随意性强,系统变更与投产过于频繁,增大了开发与维护人员工作压力,也影响了前台业务质量。
(五)科技信息衍生品风险管理不到位。随着银行卡业务的迅速扩张和竞争的日趋激烈,有关银行卡方面的投诉、纠纷、案件频发,银行卡业务风险处于多发、高发期。银行卡业务主要风险包括:通过ATM机取现、POS机套现(消费)或网络(电话)转账等形式而发生的外部欺诈风险;特约商户非法交易或违章操作引起持卡人或发卡机构资金损失的中介机构职务之便与不法分子勾结、串通作案造成的内部操作风险。这些风险不仅对客户及银行的资金安全造成威胁,对银行的声誉也造成了严重影响。
二、加强信息科技风险防范的对策
(一)加强培训学习的频度和浓度。要结合银监会有关银行业金融机构信息科技风险管理文件要求,组织对辖内信息科技人员培训、学习和贯彻。重点学习好201*年以来银监会下发的有关信息科技风险监管方面的文件,目的就是通过系统地学习和培训,让相关人员掌握银监会有关信息风险监管的要求,自觉地在工作中贯彻执行。多组织辖内员工收看银监会有关信用卡收单风险管理培训等方面的讲座。
(二)建立多种层面的防范联动协机制。一是要建立各级信息科技负责人联席会议制度,及时传达学习银监会和山东银监局信息科技风险监管文件、要求,开展经验交流,共同研究和解决工作中出现的新问题、新情况。二是要建立统计信息部门与各业务部门之间的联动机制,实现各部门间的防范优势互补和信息共享,形成监管合力。三是各银行业机构也要建立内部信息科技风险的协调机制,由一名行级领导牵头成立协调组织机构,将信息科技作为各业务条线的结合点,统筹研究,明确责任,自查本行信息科技方面存在的问题,遇到内部不能协调解决的问题时,要及时同监管部门沟通,共同解决。
(三)完善信息科技风险内控制度。要按照银监会《银行业金融机构信息系统风险管理指引》的要求,对可能出现的管理漏洞和执行不严等问题,查缺补漏,调整优化,严格评估信息安全内控体系的完整性和实施的有效性。辖内各机构、各网点要主动开展一次内部审计,有条件的法人机构要开展一次外部审计。要严格按照银监会要求和部署,适时组织开展对辖内机构信息科技风险状况的现场检查。(四)加强银行卡、POS机市场营销和电子银行类业务的风险防范。近几年,银行卡和电子银行业务方面的风险防范形势较为严峻,犯罪分子利用银行卡、网上银行、ATM、POS等金融机具实施的不法活动日益增加,犯罪手段在不断翻新。各级农村信社要密切关注并采取必要的手段防范可能出现的风险。要加大消费者的风险提示,通过公众金融服务教育提高消费者的风险意识。不断加大技术手段防范,通过网上银行实施双重身份认证,限制电子银行、POS或ATM转账交易金融等方式加强管理,并加强对上述渠道的监控监测。要按照银联银行内卡业务一柜一机的要求,禁止通过各种不正当方式进行无序竞争。严禁为推行发卡量、POS机具数量而放松审查,使不法商户非法套现、编造虚假资料套取银联机具、POS机具异地安装等行为有可乘之机。还要充分借助特约商户的力量和社会举报力量,增强风险防范合力。
(五)加强信息系统风险管理与防范。各级农村信用社要按照银监会下发的《关于北京奥运会期间银行信息科技风险提示的通知》以及《银行业金融机构信息科技风险奥运专项自查要点》要求,做好业务服务连续性工作,加强系统运行安全管理,强化ATM机等自助设备安全防范工作。要特别重社完善应急管理机制,从电力、设备、人力等各方面做好充分准备,制订、修订突发事件应急处预案并加以演练或试行压力测试,妥善处可能发生的各种突发事件,确保农村信用社机构信息系统可靠运行,保障各项业务正常运转、提高客户服务水平。
友情提示:本文中关于《农信社风险管理问题及建议》给出的范例仅供您参考拓展思维使用,农信社风险管理问题及建议:该篇文章建议您自主创作。
来源:网络整理 免责声明:本文仅限学习分享,如产生版权问题,请联系我们及时删除。