农村信用社信息科技风险管理存在的问题及建议.doc

基层农村信用社信息科技风险管理存在的问题及建议随着农信社信息化的发展,信息科技的作用已从业务支持逐步走向与业务的融合，并成为农信社稳健运营和发展的支柱，然而，对于信息科技风险管控尚处于起步阶段，如何最大限度地防范信息科技风险，充分享受信息科技带来的便捷和效率，已成为当前我们必须认真研究的一个重要课题，信息科技风险防范工作亟待加强。为此，近期临夏银监分局深入辖内信用社，了解信息科技风险管理情况，掌握信息科技风险管理水平，督促其建立有效的信息科技风险管理机制，增强信息科技风险的控制能力。一、当前农村信用社信息科技风险管理存在的主要问题信息科技，是指商业银行采用计算机、通信、微电子和软件工程等现代信息技术，在业务交易处理、经营管理和内部控制等方面的应用，并包括专项治理、建立完整的管理组织架构、制定完善的管理策略和制度。信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。由于近年来农村信用社各项业务快速发展，信息化水平的不断提高，新设备、新技术、新程序的大量应用，信息科技风险防范工作亦面临着新的形势、新的情况和新的问题，呈现出多元发展的趋势其风险范畴也从单一的技术领域延伸至投资、经营、管理的各个层面。（一）信息科技治理管理架构存在缺陷。一是思想认识不到位。目前，基层农信联社管理层普遍存在着重视信息科技建设、轻信息科技管理，重信息科技建设的档次提升、轻信息科技风险防范，重眼前业务发展、轻长期信息科技发规划等问题，缺乏对信息科技的关注和统筹安排，对信息科技的风险了解不多，信息科技工作的实际地位在基层信用社是“说起来重要、做起来急着要，排起队来次要，出了问题什么都不要”，信息科技风险管理相对薄弱。二是制度制定、执行不到位。信用社制订的信息科技制度分散于其他管理制度中，不具系统性，且操作性也不强，没有形成一整套完善有效的信息科技风险管理制度。即便是制定了一些制度，但落实不到位，制度的约束性形同虚设。（二）机制保障及应急预案有待完善。农信社网点机构的应急预案仅停留在形式上。尽管各社制定了系统应急预案，但仍有部分社从未进行过应急演练，也没有进行过压力测试，并不能保证及时处置事故或紧急事件;部分社应急预案涵盖面过大，缺乏针对性和操作性，影响应急预案的实效部分信用社业务连续性缺乏有效技术支持，且涵盖范围小，大部分局限在网络及数据的备份层次。此外，多数没有成立业务连续性管理委员会一类的领导组织，在发生业务连续性风险时，统一指挥、协调存在一定困难。重要信息系统的应急预案多数缺乏实践性检验，其可行性和可操作性不能得到有效保证。对于已制定的应急预案，没有覆盖全部信息系统、关键设施及相关业务保障部门，没有详细的操作方法和步骤，可操作性不强，影响应急预案的实效。（三）信息科技人员力量薄弱。一是科技力量相对薄弱。信息科技管理部门人员配备不足，科技人员数量与辖内网点数量严重不匹配，由此造成系统开发、技术支持、系统操作维护和系统安全岗位交叉，往往身兼数岗，关键岗位A、B角制度难以落实;技术支持岗位未能实现岗位定期轮换，缺乏专门的技术风险管理部门或岗位进行有效的监督约束，不能有效识别并量化可能存在的信息科技风险因素。三是科技人员知识水平不高。大部分机构普遍存在缺乏专业高素质人员，而且随着信息化知识的更新步伐，科技队伍工作人员的学习培训跟不上知识更新步伐，参加信息科技风险培训较少，缺少完整、系统的信息科技风险的概念和相关知识，对自身运营的业务系统、机房管理等实体系统认识较深，对信息科技项目开发和变更管理情况、业务持续性计划等认识较为肤浅，部分人员甚至在信息科技风险就是保证业务系统正常运转的错误观念，极易忽视了自身各级系统的漏洞和隐患排查、除险，在认知上存在着对风险防范的盲区和误区。四是一线操作人员风险意识淡薄。信息科技风险需要全员参与，上至高层领导的决策，下至每位临柜人员都是风险的防范者，但目前在一线操作人员中，尚未形成人人有责的共识，广大员工对信息安全的重要性置若罔闻。由于科技部门在农村信用社属于服务部门，部分高管层认为，科技部门只要能够保证设备及网络的正常运转，不出问题就可以。这一认识误区造成了科技部门的人员配备、机构设置上相对其他部门处于弱势地位。例如：永靖县农村信用合作联社信息科技人员只有一名，基层社没有信息科技人员。他除了进行日常综合业务系统维护外，往往还要身兼数岗，关键岗位轮换、强制休假等制度难以落实，不能适应当前业务拓展与IT水平同步发展的需要。以此来看，农村信用社信息科技人员的配备与当前信息系统的高速发展不相匹配，这些都是容易导致信息科技风险发生的重大隐患。（四）系统硬件建设存在安全隐患。一是机房管理有待加强。机房的防火和供电等方面达不到要求，机房没有设置防雷系统，监控存在盲区、不设置门禁系统；基层社对电子设备缺乏保养，大大影响使用效果和使用寿命，存在一定的技术风险。二是网络运行安全有待提高。省联社数据大集中后，基层农信社、县级联社到省联社的网络稳定性和通畅性极为重要，而其主、备通讯线路违反要求使用电信一家通讯公司线路，一旦一个网点出现问题，工作就会受到影响，存在潜在的声誉风险。二、加强信息科技风险管理的对策建议（一）提高思想认识，加大科技投入。信息科技工作是当前金融机构经营与监管的重要基础和技术保障，必须充分认识信息科技工作在金融业监管中的重要作用，切实加强对信息科技风险监管工作的组织领导。农村信用合作联社要提高思想认识，深刻理解信息科技风险管理的重要性，将信息科技风险管理纳入到全面风险管理之中。另外，还要根据现场检查发现的信息科技风险点，加大信息科技建设投入，积极整改，对设备老化、硬件设备不足等风险点要积极加以改进，及时消除信息科技系统中存在的各种风险和隐患，确保各项服务安全连续进行。（二）完善应急预案，加强应急演练，提高系统响应能力。一是应定期、不定期开展信息科技人员应急管理培训，并根据自身规模、复杂程度及风险发生部位、概率和危害程度，及时组织信息科技应急预案演练，并不断修改完善应急预案内容，提高对各类突发事件的处置能力。二是要高度重视，切实加强信息系统业务连续性管理，增强信息科技应急处置能力。要严格按照突发事件应对法、国家金融突发事件应急预案等法律法规要求，结合自身实际，加快应急体系建设，加强业务持续性应急演练。三是进一步完善应急演练方案，切实提高应急水平和能力。要做到责任明确、流程明确、预案明确、报告明确、联络明确，制定切实可行、要件完备的应急方案。同时要加大应急方案的演练，熟练掌握各种应急手段，提高抗风险能力和突发事件应对能力，不断完善信息系统安全运行体系。（三）充实科技监管队伍，加强内控管理。要采取切实措施，大量引进信息科技专业人员，加大信息科技人才培训力度，按照银监会商业银行信息科技风险管理指引的要求，充实信息科技审计力量，完善管理制度，严格按照管理、运行、维护等岗位配备人员，关键岗位必须配备AB角，真正做到人员控制、制度控制、系统控制三到位。要加强要害岗位管理，计算机业务数据录入员、系统管理员之间，应按照权力、责任范围实行严格的限制，相互制约、互相监督，严禁系统管理人员、网络技术人员和前台操作人员混岗、代岗或一人多岗。同时要制定信息科技风险审计办法，定期对信息科技风险状况进行审计评价，督促建立技术安全保障体系。要加大信息科技安全检查力度，定期和不定期进行安全检查，及时纠正问题和消除隐患。（四）改善运行环境，加强信息科技风险培训。一是要采取有效措施，改善机房的供电系统和消防安全状况，按照机房建设要求增加防雷系统，更新核心业务系统设备，保证核心业务系统双机热备不间断工作；要完善运行值班制度，保证对核心业务系统及网络运行状况的有效监控，针对故障进行有效的预测和报警。二是要加大对信息科技风险的培训力度，建议抽调一些业务骨干进行专门的信息科技培训，通过对信息科技的专项培训，培养一批专门从事信息科技工作的干部，保障信息系统的安全、稳健运行。随着农信社信息化的发展,信息科技的作用已从业务支持逐步走向与业务的融合，并成为农信社稳健运营和发展的支柱，然而，对于信息科技风险管控尚处于起步阶段，如何最大限度地防范信息科技风险，充分享受信息科技带来的便捷和效率，已成为当前我们必须认真研究的一个重要课题，信息科技风险防范工作亟待加强。一、当前信息科技风险防范工作中存在的主要问题信息科技，是指商业银行采用计算机、通信、微电子和软件工程等现代信息技术，在业务交易处理、经营管理和内部控制等方面的应用，并包括专项治理、建立完整的管理组织架构、制定完善的管理策略和制度。信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。由于近年来农村信用社各项业务快速发展，信息化水平的不断提高，新设备、新技术、新程序的大量应用，信息科技风险防范工作亦面临着新的形势、新的情况和新的问题，呈现出多元发展的趋势其风险范畴也从单一的技术领域延伸至投资、经营、管理的各个层面。(一)对信息科技风险认识不到位一是思想认识不到位。目前，基层农信联社管理层普遍存在着重视信息科技建设、轻信息科技管理，重信息科技建设的档次提升、轻信息科技风险防范，重眼前业务发展、轻长期信息科技发规划等问题，缺乏对信息科技的关注和统筹安排，对信息科技的风险了解不多，信息科技工作的实际地位在基层信用社是“说起来重要、做起来急着要，排起队来次要，出了问题什么都不要”，信息科技风险管理相对薄弱。二是科技力量相对薄弱。信息科技管理部门人员配备不足，科技人员数量与辖内网点数量严重不匹配，由此造成系统开发、技术支持、系统操作维护和系统安全岗位交叉，往往身兼数岗，关键岗位A、B角制度难以落实;技术支持岗位未能实现岗位定期轮换，缺乏专门的技术风险管理部门或岗位进行有效的监督约束，不能有效识别并量化可能存在的信息科技风险因素。三是科技人员知识水平不高。大部分机构普遍存在缺乏专业高素质人员，而且随着信息化知识的更新步伐，科技队伍工作人员的学习培训跟不上知识更新步伐，参加信息科技风险培训较少，缺少完整、系统的信息科技风险的概念和相关知识，对自身运营的业务系统、机房管理等实体系统认识较深，对信息科技项目开发和变更管理情况、业务持续性计划等认识较为肤浅，部分人员甚至在信息科技风险就是保证业务系统正常运转的错误观念，极易忽视了自身各级系统的漏洞和隐患排查、除险，在认知上存在着对风险防范的盲区和误区。四是一线操作人员风险意识淡薄。信息科技风险需要全员参与，上至高层领导的决策，下至每位临柜人员都是风险的防范者，但目前在一线操作人员中，尚未形成人人有责的共识，广大员工对信息安全的重要性置若罔闻。(二)信息科技风险管理制度不到位一是管控体系不完善。虽然农村合作金融机构均成立了信息安全领导小组，但多数未真正实施起信息科技风险管理的领导决策职责，信息科技风险管控目标尚未确立，主要表现在多数农信社的理事会未制定信息科技发展的长远规划或发展策略，仅在每年股东大会或理事会季度例会上对信息科技设备的购置作简要的说明，信息科技风险防范的目标几乎没有涉及。二是管控制度不系统。部分基层联社没有制定专门的科技风险管理制度，有制度的又大多分散于其他管理制度中，不具有系统性，且操作性也不强，缺乏具体的识别、监测和控制风险的措施。三是制度执行不到位。很多单位不能严格执行相关计算机应用管理制度和中心机房管理规定;有的对信息系统运行保障工作重视不够，未建立健全信息系统运行巡查制度，无法及时发现机房、主机、数据库等系统运行的异常情况及故障;有的对机房运行日志未按规定进行登记，文档不完整;部分新型设备购买后未及时更新相关的管理制度，制度没有随着信息资产的升级而更新，不能起到防范风险的作用;在基层网点操作人员未按制度进行授权操作，未按流程进行业务办理，制度人为地架空。(三)信息科技风险管控不到位一是风险管控操作不规范。目前基层一线大部分操作人员防范科技风险意识淡薄，安全认证和访问控制防范意识差，存在朴素地感情信任，出现违规上岗、共用柜员号、一人多号、不按规定更改密码、密码设置简单、系统自录登录等问题;在授权管理上，存在交叉授权、授权未审核业务等问题，存在较大的风险隐患。而新注入的新生人员力量在大环境的影响下也未能严格按照制度执行，致使人为操作风险不能从根本上扭转。二是风险管控职能不健全。农信社均设置了风险管理部门，但基本上仅履行管控资产、负债类业务风险的职能，并未涵盖信息科技风险。科技风险管理工作主要由科技部门负责，而科技部门是信息系统的建设者和维护者，由其承担科技风险管理职能，缺少必要的技术人员和有效手段，内部审计不能形成有效的制衡机制。三是外部制约控制不到位。辖内所有法人机构及营业网点均未接受有关信息科技风险的外部评估，各级机构向监管部门提供的审计检查报告多是在信息科技人员自我评价的基础上形成的，这种“既当运动员又当裁判员”的评估，易给农信社带来信息科技审计制约风险。四是科技信息衍生品风险管理不到位。随着银行卡业务的迅速扩张和竞争的日趋激烈，有关银行卡方面的投诉、纠纷、案件频发，银行卡业务风险处于多发、高发期。银行卡业务主要风险包括：通过ATM机取现、POS机套现(消费)或网络(电话)转账等形式而发生的外部欺诈风险;特约商户非法交易或违章操作引起持卡人或发卡机构资金损失的中介机构职务之便与不法分子勾结、串通作案造成的内部操作风险。这些风险不仅对客户及银行的资金安全造成威胁，对银行的声誉也造成了严重影响。(四)系统性管理不到位一是科技硬件基础设施薄弱。目前，农信社机房的建设不达标，个别联社的机房简陋，甚至未达到国家机房建设的最低C级标准，已建成的新机房也因前期协调、资金等问题，存在漏洞，部分联社的机房防雷、消防等设施均未配备，一旦发生机房失火或雷击等突发性事故，核心业务系统或网络中枢将遭受损害;对于网络运行环境而言，数据大集中和前置机后移，都需要极稳定的网络环境支撑，从乡镇到县中心机房，再到市、省中心，任何环节网络不畅都会导致业务的中断，农信社核心网络设备使用期限已达7年，且基层农信社也没购置备用网络设备，一旦设备损坏，极易造成业务中断;现在农信社均实行了内、外网络的物理隔离，但对移动设备的管理缺乏有效的制约手段，极易导致外网病毒通过移动设备传播和感染到内网未打补丁包的windows类操作系统，这导致内网带宽被侵占，从而影响业务系统的运行。二是系统软件设计存在缺陷。目前，农信社使用的IT系统的核心为综合业务系统和信贷管理系统，是由省中心开发的，基本能满足业务操作的需要，但这些系统风险管控功能、报表分析功能不强。如：综合业务管理平台的事后补救措施和升级在逐步开展，系统变更与投产过于频繁，增大了开发与维护人员工作压力，也影响了前台业务质量;信贷业务管理系统在设计时未能考虑银监部门信贷风险控制的基本要求，没有设置贷款集中度风险、集团授信风险等风险提示模块，从而导致系统无法适时提示上述风险;业务流程控制缺陷较多，部分信贷业务办理不受信贷管理系统控制，信贷管理系统对贴现科目控制存在漏洞，贴现科目无需信贷管理系统授权，通过综合业务系统的会计前台即可办理该项业务，既无制约功能，也不能信息共享等问题。三是应急预案不完善。农新社网点机构的应急预案仅停留在形式上。尽管各社制定了系统应急预案，但仍有部分社从未进行过应急演练，也没有进行过压力测试，并不能保证及时处置事故或紧急事件;部分社应急预案涵盖面过大，缺乏针对性和操作性，影响应急预案的实效。二、加强农信社科技信息风险防控的对策和建议农信社应按照商业银行信息科技风险管理指引要求，从业务需求出发，加强信息科技风险管控，从“要我做”变为“我要做”，做到事前有预防、事中有控制和事后有检查，将技术防范为主的被动信息安全工作，转变为以预防为主的主动信息科技风险管控。(一)加强信息科技风险防范的组织领导和队伍建设一是各级领导要站在维护社会秩序和促进农信社发展的高度，充分认识信息科技安全的紧迫性和重要性，要看到农信社的现状和未来，要看到近几年农信社信息化得迅速发展和展望未来的广大前景，要充分认识IT价值，要明确信息科技风险管理目标，要将信息科技风险纳入自身的总体风险框架，联社理事长作为信息科技风险的第一责任人，负责组织贯彻落实。二是完善信息科技风险管理机制。要处理好业务发展与信息科技风险防范之间的关系，建立全系统自上而下的信息科技风险管理体系，实现对信息科技风险的识别、计量、监测和控制，严格落实相关责任制和事故追究责任制，积极采取措施消除信息科技风险重大隐患，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。三是建立相应的激励和约束机制，打造一支稳定、团结、高效的科技队伍。首先，要加强职业道德和法律法规教育，提高科技队伍的思想政治素质，严格要害岗位人员的审查，从思想上筑起一道防范信息科技风险的“防火墙”;其次，要实施科技人员梯队管理。要将全市科技人员按照管理人员、计算机安全管理员、计算机操作人员进行分类管理，按照市、县两级组织实施级别管理，市级以县级联社管理人员为管控重点，县级联社以计算机安全管理员为重点管理对象，计算机安全管理员重点保障基层操作人员的正常业务操作，现从上到下、从市到县、从机关到网点的逐级有序管理，使科技工作风险管控的触角延伸到每一个网点，到每一项业务的正常开展。四是要建立相应的激励机制。要从“业务发展，科技为先”的战略高度上认识，建立科学合理的薪酬激励机制，在物质待遇上给予保证，建立科学的短期、中期、长期的岗位目标，才能起到激励作用，使从事科技特殊岗位的人员在心理上得到平衡。(二)加强信息科技风险防范的制度建设和执行是整合和健全信息科技风险管理制度。按照新指引要求，对可能出现的管理漏洞等问题，查缺补漏，调整优化，严格评估信息安全内控体系的完整性和实施的有效性，对科技风险管理制度和操作规程进行梳理和归类，堵塞漏洞，使其具有系统性和可操作性。二是加大科技投入，采用先进技术防范措施，保证制度的贯彻执行。要积极推广应用指纹认证系统，建立有效的管理用户认证和访问控制机制，使用户对数据和系统访问必须选择与信息访问级别相匹配的认证机制，确保密匙使用安全;要通过风险预警和客户评价系统，提高技术防范手段，加强后台监督，严格控制操作风险;要通过改善门禁系统、防雷、消防等硬件设施，发展和使用计算机加密技术、访问控制技术、“防火墙”技术、病毒防治技术和监控技术，筑起多道计算机安全防范屏障，以科技技术保障制度的落实。三是加强员工培训学习，强化防范操作风险执行力度。要强化信息安全思想教育，强调科技风险防范人人有责，安全性和便利性要由大家形成共识的折中，每个人都要承担安全责任;要重点抓好网点一线临柜人员计算机知识的普及和定期轮训培训工作，严格落实上岗资格考试、岗位轮换和强制休假制度;要对业务操作人员按照权限、责任范围实行严格的限制，相互制约、互相监督，防止权限过于集中，避免出现管理空档;科技工作人员要以高度的责任心和使命感，脚踏实地的工作态度，立足岗位，做好本职工作，不断更新现有知识架构，积极学习新业务、新知识，全面提高自身素养，为更好地做好科技工作夯实基础。(三)加强信息科技风险防范的审计检查和监督一是要探索信息科技风险监测手段。积极探索信息系统风险识别、监测和控制的技术和手段，及时发现信息系统的风险，并进行整改和补救。目前，市中心在机房断电、柜员签退等方面开发了短信监控平台、柜员签退实时监控系统，在这方面做出了有益地探索。二是加强科技信息风险现场检查,及时纠正问题和消除隐患。要着手开发信息系统的现场检查程序，建立检查制度，综合运用数据检查、情景模拟或联网检查的手段，及时查找和发现信息系统的问题和不足。三是要加强外部审计监督。建立信息科技风险管理交流平台，对信息系统的研发、运行及退出的全过程进行审计，对可能发生的信息科技安全事故进行调查、分析和评估，及时识别、监测和防范信息科技风险。同时，与人民银行、银监部门协调沟通，加强资源集成，提高信息科技风险监管合力，定期对信息科技系统全面性、安全性、完整性和可靠性进行审计和评价，全面、深入地反映信息系统的整体状况和主要风险，查找漏洞，确定相应的整改措施。也可适时引入社会力量，委托外部IT审计部门开展信息系统的外部评价和审计，促进信息系统自身和相关管理水平的提高。(四)加强信息科技风险防范的重点环节一是要提高信息系统运行保障能力。要加大科技软硬件设施投入，消除单点故障隐患，要了解掌握各类业务系统、信息化建设、安全管理、消防等多方位、全方面的知识，按照标准化要求实施信息化建设，正在建设机房的县级联社要科学、合理地进行机房建设施工，机房不达标的县级联社要逐步进行设备设施更新改造，夯实信息科技风险防范的基础。二是完善信息系统安全运行体系。设立信息科技风险管理岗位，严格执行开发、运行、维护等岗位分离及关键岗位的A、B角配备;要做好生产系统维护和保护工作，尤其是要加强前置机、路由器和交换机的检查，注重外网的安全性，严禁传输敏感数据，非敏感数据通过互联网传输，要严防黑客攻击，要做好应对网络攻击相关准备和实时监测工作;对机房、网络设备、主机设备、网络及数据访问、科技人员操作风险等方面进行全面安全评估。三是加强业务系统风险管控。对由于IT系统的缺陷和不足，省中心正在逐步进行改进和升级，各级科技管理部门要认真配合组织实施，对于系统问题引发的问题以及错误，要总结教训并认真整改，做到人员控制、制度控制、系统控制三到位。四是要加强沟通，做好应急处理。要进一步加强与监管部门、人民银行、电信运营商以及设备厂商等外部单位之间的沟通协调，确保信息系统事件发生时外部协作的及时有效。制定应急预案并定期组织演练，从应急响应、应急决策、应急预案等方面做好应急工作，提高应急处置能力，提高抗风险能力和突发事件应对能力。一、当前农村信用社信息科技风险管理中存在的主要问题 目前农村信用社对信息科技风险的管理相对薄弱，管理层缺乏对信息科技的关注和统筹安排，对信息科技的风险了解不多，导致一些风险事项时有发生，存在以下几个突出问题。 （一）对信息科技风险认识不到位。从调查发现，信息科技管理部门人员配备不足，参加信息科技风险培训较少，缺少完整、系统的 信息科技风险的概念和相关知识，对自身运营的业务系统、机房管理、ATM等实体系统认识较深，对信息科技项目开发和变更管理情况、业务持续性计划等认识较为肤浅，部分人员甚至在信息科技风险就是保证业务系统正常运转的错误观念，极易忽视了自身各级系统的漏洞和隐患排查、除险。 （二）组织机构及岗位设置不到位。各级管理层没有成立相关信息科技风险管理的领导和决策机构，科技部门独立于其它业务部门之外现象比较普遍人员数量不足，系统开发、技术支持、系统操作维护和系统安全不能严格分开，主要技术支持岗位未实现岗位定期轮换。缺乏专门的技术风险管理部门或岗位进行有效的监督约束，不能有效识别并量化可能存在的信息科技风险因素。 （三）制度制定与制度执行不到位。很多单位不能严格执行相关计算机应用管理制度和中心机房管理规定，项目资料文档不完整，缺少部分年度的项目资料文档，有的对机房运行日志未按规定进行登记，部分新型设备购买后未及时更新相关的管理制度，制度没有随着信息资产的升级而更新，不能起到防范风险的作用。 （四）外部制约与风险控制环节不到位。辖内所有法人机构及营业网点均未接受有关信息科技风险的外部评估，部分机构向监管部门提供的审计检查报告多是在信息科技人员自我评价的基础上形成的，这种“既当运动员又当裁判员”的评估，易给金融机构带来信息科技审计制约风险。尤其是项目开发外包管理缺乏有效的风险防范手段，没有经常性的对外包服务商近期经营状况和提供的服务状况进行评价和报告，缺乏对外包商有效的监督和约束；没有正式经过批准的针对外包服务商的应急方案和解除服务方案。业务需求部门随意性强，系统变更与投产过于频繁，增大了开发与维护人员工作压力，也影响了前台业务质量。 （五）科技信息衍生品风险管理不到位。随着银行卡业务的迅速扩张和竞争的日趋激烈，有关银行卡方面的投诉、纠纷、案件频发，银行卡业务风险处于多发、高发期。银行卡业务主要风险包括：通过ATM机取现、POS机套现(消费)或网络(电话)转账等形式而发生的外部欺诈风险；特约商户非法交易或违章操作引起持卡人或发卡机构资金损失的中介机构职务之便与不法分子勾结、串通作案造成的内部操作风险。这些风险不仅对客户及银行的资金安全造成威胁，对银行的声誉也造成了严重影响。 二、加强信息科技风险防范的对策 （一）加强培训学习的频度和浓度。要结合银监会有关银行业金融机构信息科技风险管理文件要求，组织对辖内信息科技人员培训、学习和贯彻。重点学习好2006年以来银监会下发的有关信息科技风险监