银行：农村信用社信息科技风险防范与对策金

1/6银行农村信用社信息科技风险防范与对策金随着银行业科技进步的步伐加快，信息集中程度不断提高，导致农村信用社信息科技风险防范工作面临着新的形势、新的情况和新的问题，信息科技风险事件凸现，普遍存在重视信息科技建设、轻信息科技管理，重信息科技建设的档次提升、轻信息科技风险防范，重眼前业务发展、轻长期信息科技发规划等问题。本文拟就做好信息科技风险防范工作谈两点意见。一、当前农村信用社信息科技风险管理中存在的主要问题目前农村信用社对信息科技风险的管理相对薄弱，管理层缺乏对信息科技的关注和统筹安排，对信息科技的风险了解不多，导致一些风险事项时有发生，存在以下几个突出问题。（一）对信息科技风险认识不到位。从调查发现，信息科技管理部门人员配备不足，参加信息科技风险培训较少，缺少完整、系统的信息科技风险的概念和相关知识，对自身运营的业务系统、机房管理、ATM等实体系统认识较深，对信息科技项目开发和变更管理情况、业务持续性计划等认识较为肤浅，部分人员甚至在信息科技风险就是保证业务系统正常运转的错误观念，极易忽视了自身各级系2/6统的漏洞和隐患排查、除险。（二）组织机构及岗位设置不到位。各级管理层没有成立相关信息科技风险管理的领导和决策机构，科技部门独立于其它业务部门之外现象比较普遍人员数量不足，系统开发、技术支持、系统操作维护和系统安全不能严格分开，主要技术支持岗位未实现岗位定期轮换。缺乏专门的技术风险管理部门或岗位进行有效的监督约束，不能有效识别并量化可能存在的信息科技风险因素。（三）制度制定与制度执行不到位。很多单位不能严格执行相关计算机应用管理制度和中心机房管理规定，项目资料文档不完整，缺少部分年度的项目资料文档，有的对机房运行日志未按规定进行登记，部分新型设备购买后未及时更新相关的管理制度，制度没有随着信息资产的升级而更新，不能起到防范风险的作用。（四）外部制约与风险控制环节不到位。辖内所有法人机构及营业网点均未接受有关信息科技风险的外部评估，部分机构向监管部门提供的审计检查报告多是在信息科技人员自我评价的基础上形成的，这种“既当运动员又当裁判员”的评估，易给金融机构带来信息科技审计制约风险。尤其是项目开发外包管理缺乏有效的风险防范手段，没有经常性的对外包服务商近期经营状况和提供的服务状况进行评价和报告，缺乏对外包商有效的监督和约束；没3/6有正式经过批准的针对外包服务商的应急方案和解除服务方案。业务需求部门随意性强，系统变更与投产过于频繁，增大了开发与维护人员工作压力，也影响了前台业务质量。（五）科技信息衍生品风险管理不到位。随着银行卡业务的迅速扩张和竞争的日趋激烈，有关银行卡方面的投诉、纠纷、案件频发，银行卡业务风险处于多发、高发期。银行卡业务主要风险包括通过ATM机取现、POS机套现消费或网络电话转账等形式而发生的外部欺诈风险；特约商户非法交易或违章操作引起持卡人或发卡机构资金损失的中介机构职务之便与不法分子勾结、串通作案造成的内部操作风险。这些风险不仅对客户及银行的资金安全造成威胁，对银行的声誉也造成了严重影响。二、加强信息科技风险防范的对策（一）加强培训学习的频度和浓度。要结合银监会有关银行业金融机构信息科技风险管理文件要求，组织对辖内信息科技人员培训、学习和贯彻。重点学习好2016年以来银监会下发的有关信息科技风险监管方面的文件，目的就是通过系统地学习和培训，让相关人员掌握银监会有关信息风险监管的要求，自觉地在工作中贯彻执行。多组织辖内员工收看银监会有关信用卡收单风险管理培训等方面的讲座。4/6（二）建立多种层面的防范联动协机制。一是要建立各级信息科技负责人联席会议制度，及时传达学习银监会和山东银监局信息科技风险监管文件、要求，开展经验交流，共同研究和解决工作中出现的新问题、新情况。二是要建立统计信息部门与各业务部门之间的联动机制，实现各部门间的防范优势互补和信息共享，形成监管合力。三是各银行业机构也要建立内部信息科技风险的协调机制，由一名行级领导牵头成立协调组织机构，将信息科技作为各业务条线的结合点，统筹研究，明确责任，自查本行信息科技方面存在的问题，遇到内部不能协调解决的问题时，要及时同监管部门沟通，共同解决。（三）完善信息科技风险内控制度。要按照银监会银行业金融机构信息系统风险管理指引的要求，对可能出现的管理漏洞和执行不严等问题，查缺补漏，调整优化，严格评估信息安全内控体系的完整性和实施的有效性。辖内各机构、各网点要主动开展一次内部审计，有条件的法人机构要开展一次外部审计。要严格按照银监会要求和部署，适时组织开展对辖内机构信息科技风险状况的现场检查。（四）加强银行卡、POS机市场营销和电子银行类业务的风险防范。近几年，银行卡和电子银行业务方面的风险防范形势较为严峻，犯罪分子利用银行卡、网上银行、5/6ATM、POS等金融机具实施的不法活动日益增加，犯罪手段在不断翻新。各级农村信社要密切关注并采取必要的手段防范可能出现的风险。要加大消费者的风险提示，通过公众金融服务教育提高消费者的风险意识。不断加大技术手段防范，通过网上银行实施双重身份认证，限制电子银行、POS或ATM转账交易金融等方式加强管理，并加强对上述渠道的监控监测。要按照银联银行内卡业务一柜一机的要求，禁止通过各种不正当方式进行无序竞争。严禁为推行发卡量、POS机具数量而放松审查，使不法商户非法套现、编造虚假资料套取银联机具、POS机具异地安装等行为有可乘之机。还要充分借助特约商户的力量和社会举报力量，增强风险防范合力。（五）加强信息系统风险管理与防范。各级农村信用社要按照银监会下发的关于北京奥运会期间银行信息科技风险提示的通知以及银行业金融机构信息科技风险奥运专项自查要点要求，做好业务服务连续性工作，加强系统运行安全管理，强化ATM机等自助设备