农信社信息科技风险分析与防范对策

1/6农信社信息科技风险分析与防范对策一是主要业务系统设计不完善。目前，农信社使用的IT系统的核心为综合业务系统和信贷业务管理系统，这是由各省农村信用社联合社开发的，基本能满足业务操作的需要，但这些系统风险管控功能、报表分析功能不强，反映了系统设计前瞻性不够，上线前测试不充分，事后补救措施不到位。如信贷业务管理系统在设计时未能考虑银监会信贷风险控制的基本要求，没有设置贷款集中度风险、集团授信风险等风险提示模块，从而导致系统无法适时提示上述风险。又如系统信贷管理报表模块设计不科学，无贷款余额汇总功能，信贷管理人员无法通过该系统适时进行数据分析、风险判断。二是业务流程控制缺陷较多。部分信贷业务办理不受信贷管理系统控制。诸如，信贷管理系统对贴现科目控制存在漏洞，贴现科目无需信贷管理系统授权，通过综合业务系统的会计前台即可办理该项业务，既无制约功能，也不能信息共享；系统工作日志设置、登录不全，对日常错误无任何日志记录或记录不全，个别机构记录系统情况时，上午即将全天情况登记完毕，反映了农信社对信息系统流程控制不严，管理不到位；原单机储蓄系统上的活期存折在新系统上销户，必须更换新存折才能完全销户，造成不必要的凭证浪费；欠发达农村地区农信社部分网点试2/6行开通的代理业务功能不全，多数只开通了退耕还林、粮食直补、移民补贴、大学生村官工资、乡政经费和农民低保等业务，不能办理代收话费、水电费和代理保险等中间业务。农信社科技信息风险防控建议农信社应借鉴先进商业银行的良好做法和国际标准，从业务需求出发，在组织机构、人员、技术和流程四个方面加强信息科技风险管控，研究建立信息科技风险管控体系，做到事前有预防、事中有控制和事后有检查，将技术防范为主的被动信息安全工作，转变为以预防为主的主动信息科技风险管控。（一）加强信息科技风险工作的组织领导一是明确信息科技风险管理目标。农信社理事会、监事会和管理层要对本社信息科技风险负责，建立全系统自上而下的信息科技风险管控体系，落实信息科技风险管理和防范责任，内外合力，齐抓共管，处理好业务发展与信息科技风险防范之间的关系，加大对信息科技的投入，积极采取措施消除信息科技风险重大隐患。同时，应遵循国家信息技术安全标准和新指引的要求，结合自身特点制定科技风险管理目标，确定所采用的安全技术和制定风险管理分步实施方案。二是完善信息科技风险管理机制。农信社要将信息3/6科技风险纳入自身的总体风险框架，有条件的机构应设立信息科技风险管理部门，不具备条件的可授权风险管理部门履行信息科技风险管理职责，对科技操作和科技风险管理岗位进行分设，进行合理授权，形成有效的监督制约机制。三是整合信息科技风险管理制度。对科技风险管理制度和操作规程进行梳理和归类，使其具有系统性和可操作性。四是探索信息科技风险监测手段。积极探索信息系统风险识别、监测和控制的技术和手段，及时发现信息系统的风险，并进行整改和补救。五是开展信息科技风险审计。内部审计部门应配备熟悉科技工作的专业人员，根据银监会信息科技风险评价审计要点定期对信息科技系统全面性、安全性、完整性和可靠性进行审计和自我评价，全面、深入地反映信息系统的整体状况和主要风险，查找漏洞，确定相应的整改措施。（二）加强信息科技重点环节的风险防范一是要提高信息系统运行保障能力。加大科技软硬件设施投入，消除单点故障隐患。完善各项管理制度，制订应急预案并组织演练，提高抗风险能力和突发事件应对能力。4/6二是完善信息系统安全运行体系。对机房、网络设备、主机设备、网络及数据访问、科技人员操作风险等方面进行全面安全评估。设立信息科技风险管理部门及岗位，严格执行开发、运行、维护等岗位分离及关键岗位的A、B角配备，完善相关管理制度。三是加强项目外包风险管理。对外包公司的规模、技术水平、业务保障能力、保密等进行全面评估，在外包合同中明确要求外包公司提供系统核心源代码及相关信息。尽快提高农信社科技人员核心业务系统自主开发和系统安全策略自主配置的能力。四是加强业务系统风险管控。对由于IT系统的缺陷和不足引发的案件，要总结教训并认真整改，做到人员控制、制度控制、系统控制三到位。（三）加强信息科技风险监管一是监管部门要迅速探索建立农信社信息资产风险监管标准体系，着重解决农信社信息资产风险评估与定价标准，按业务系统性质及其隐形资产价值、网络运行特性以及运营商素质等方面内容，科学划分信息资产风险级别与管理要求。二是应迅速建立农信社信息资产风险监管法规体系，从系统开发、使用、维护、管理以及网络运营商与IT公司的资质、素质等各个层面提出相关指引，确保系统从研发5/6到使用全过程合规合法。三是要进一步加强科技信息风险现场检查。由于农信社自身风险防范能力薄弱，是风险隐患的多发区域，监管部门应定期检查、评价农信社科技信息系统运行情况、风险程度，发现问题及时督促整改。四是加强资源集成，提高信息科技风险监管合力。银监部门将信息科技风险纳入现场检查和非现场监管内容，设置专职部门和岗位，明确岗位职责，细化监管流程，建立合理有序的风险监管机制。五是加强信息系统的现场检查工作。要着手开发信息系统的现场检查程序，建立检查制度，综合运用数据检查、情景模拟或联网检查的手段，及时查找和发现信息系统的问题和不足。六是定期开展评价审计工作。要根据信息科技风险评价审计的要点，对有关机构的信息系统管理过程和环节进行综合评价，同时也可适时引入社会力量，委托外部IT审计部门开展信息系统的外部评价和审计，促进信息系统自身和相关管理水平的提高。（四）加强信息科技风险防控执行力建设一是农信社要按照新指引要求，对可能出现的管理漏洞和执行不力等问题，查缺补漏，调整优化，严格6/6评估信息安全内控体系的完整性和实施的有效性。加强内外部审计监督，对信息系统的研发、运行及退出的全过程进行审计，对可能发生的信息科技安全事故进行调查、分析和评估，及时识别、监测和防范信息科技风险。二是加强对基层员工的培训，防范操作风险。加