农村信用社信息科技风险管理存在的问题及建议.doc

基层农村信用社信息科技风险管理 存在的问题及建议 随着农信社信息化的发展,信息科技的作用已从业务支持逐步走向与业务的融合，并成为农信社稳健运营和发展的支柱，然而，对于信息科技风险管控尚处于起步阶段，如何最大限度地防范信息科技风险，充分享受信息科技带来的便捷和效率，已成为当前我们必须认真研究的一个重要课题，信息科技风险防范工作亟待加强。为此，近期临夏银监分局深入辖内信用社，了解信息科技风险管理情况，掌握信息科技风险管理水平，督促其建立有效的信息科技风险管理机制，增强信息科技风险的控制能力。 一、当前农村信用社信息科技风险管理存在的主要问题 信息科技，是指商业银行采用计算机、通信、微电子和软件工程等现代信息技术，在业务交易处理、经营管理和内部控制等方面的应用，并包括专项治理、建立完整的管理组织架构、制定完善的管理策略和制度。信息科技风险，是指信息科技在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。由于近年来农村信用社各项业务快速发展，信息化水平的不断提高，新设备、新技术、新程序的大量应用，信息科技风险防范工作亦面临着新的形势、新的情况和新的问题，呈现出多元发展的趋势其风险范畴也从单一的技 术领域延伸至投资、经营、管理的各个层面。 （一）信息科技治理管理架构存在缺陷。 一是思想认识不到位。目前，基层农信联社管理层普遍存在着重视信息科技建设、轻信息科技管理，重信息科技建设的档次提升、轻信息科技风险防范，重眼前业务发展、轻长期信息科技发规划等问题，缺乏对信息科技的关注和统筹安排，对信息科技的风险了解不多，信息科技工作的实际地位在基层信用社是“说起来重要、做起来急着要，排起队来次要，出了问题什么都不要”，信息科技风险管理相对薄弱。二是制度制定、执行不到位。信用社制订的信息科技制度分散于其他管理制度中，不具系统性，且操作性也不强，没有形成一整套完善有效的信息科技风险管理制度。即便是制定了一些制度，但落实不到位，制度的约束性形同虚设。 （二）机制保障及应急预案有待完善。 农信社网点机构的应急预案仅停留在形式上。尽管各社制定了系统应急预案，但仍有部分社从未进行过应急演练，也没有进行过压力测试，并不能保证及时处臵事故或紧急事件;部分社应急预案涵盖面过大，缺乏针对性和操作性，影响应急预案的实效部分信用社业务连续性缺乏有效技术支持，且涵盖范围小，大部分局限在网络及数据的备份层次。此外，多数没有成立业务连续性管理委员会一类的领导组织，在发生业务连续性风险时，统一 指挥、协调存在一定困难。重要信息系统的应急预案多数缺乏实践性检验，其可行性和可操作性不能得到有效保证。对于已制定的应急预案，没有覆盖全部信息系统、关键设施及相关业务保障部门，没有详细的操作方法和步骤，可操作性不强，影响应急预案的实效。 （三）信息科技人员力量薄弱。 一是科技力量相对薄弱。信息科技管理部门人员配备不足，科技人员数量与辖内网点数量严重不匹配，由此造成系统开发、技术支持、系统操作维护和系统安全岗位交叉，往往身兼数岗，关键岗位A、B角制度难以落实;技术支持岗位未能实现岗位定期轮换，缺乏专门的技术风险管理部门或岗位进行有效的监督约束，不能有效识别并量化可能存在的信息科技风险因素。 三是科技人员知识水平不高。大部分机构普遍存在缺乏专业高素质人员，而且随着信息化知识的更新步伐，科技队伍工作人员的学习培训跟不上知识更新步伐，参加信息科技风险培训较少，缺少完整、系统的信息科技风险的概念和相关知识，对自身运营的业务系统、机房管理等实体系统认识较深，对信息科技项目开发和变更管理情况、业务持续性计划等认识较为肤浅，部分人员甚至在信息科技风险就是保证业务系统正常运转的错误观念，极易忽视了自身各级系统的漏洞和隐患排查、 除险，在认知上存在着对风险防范的盲区和误区。 四是一线操作人员风险意识淡薄。信息科技风险需要全员参与，上至高层领导的决策，下至每位临柜人员都是风险的防范者，但目前在一线操作人员中，尚未形成人人有责的共识，广大员工对信息安全的重要性臵若罔闻。 由于科技部门在农村信用社属于服务部门，部分高管层认为，科技部门只要能够保证设备及网络的正常运转，不出问题就可以。这一认识误区造成了科技部门的人员配备、机构设臵上相对其他部门处于弱势地位。例如：永靖县农村信用合作联社信息科技人员只有一名，基层社没有信息科技人员。他除了进行日常综合业务系统维护外，往往还要身兼数岗，关键岗位轮换、强制休假等制度难以落实，不能适应当前业务拓展与IT水平同步发展的需要。以此来看，农村信用社信息科技人员的配备与当前信息系统的高速发展不相匹配，这些都是容易导致信息科技风险发生的重大隐患。 （四）系统硬件建设存在安全隐患。一是机房管理有待加强。机房的防火和供电等方面达不到要求，机