農信社風險管理問題及建議
農信社風險管理問題及建議
符學麗
合規(guī)已成為農村信用社內部一項核心的風險管理活動,合規(guī)風險逐漸成為除信用風險�、市場風險和操作風險之外的農村信用社面臨的重要風險。因此�����,銀監(jiān)部門的監(jiān)管重點已從農村信用社體制監(jiān)管逐步轉移到合規(guī)經營上來��,以力促合規(guī)經營為主要目標的合規(guī)風險管理工作成為今年農村信用社系統一大熱點問題�。但從目前工作進展情況來看,農村信用社合規(guī)風險管理還存在許多深層次的問題��。就當前農村信用社的實際��,及近二年我縣聯社在市辦的各項檢查情況���,對如何完善農村信用社合規(guī)風險管理提出一系列改進建議��。
一�、農村信用社合規(guī)風險管理存在的主要問題
長期以來,農村信用社一直未將合規(guī)作為一個重要的風險源來管理���,更沒有將合規(guī)風險管理擺上應有的重要位置��,從目前農村信用社開展的合規(guī)建設年和風險管理年活動情況看��,農村信用社在合規(guī)風險管理中存在以下問題:
1�、合規(guī)風險管理意識淡薄
根據今年以來強化合規(guī)知識教育提高案件防控力活動開展情況來看���,相當一部分干部員工���,對合規(guī)管理還沒有充分的理解和認知,即使是合規(guī)部門從業(yè)人員���,對今后合規(guī)工作怎樣開展也拿捏不準�����。一些員工特別是基層職員��,對于什么是合規(guī)��,為什么要合規(guī)����,怎樣才能合規(guī)��,還存在模糊的�、甚至是錯誤的認識和做法。有的員工對當前推行的合規(guī)教育培訓和考試存在被動應付的消極心理�,對合規(guī)工作極為排斥,甚至將其與業(yè)務經營對立起來����,將其視為一種負擔,害怕合規(guī)風險管理進行下去會影響業(yè)務經營工作的開展�。但事實上,由于管理層人員掌握著人力�、物力、財力等大權�,由其而引發(fā)的合規(guī)風險,其危害性要遠遠大于執(zhí)行層操作人員��。
2���、合規(guī)風險管理機制不健全
在合規(guī)風險管理活動中�����,農村信用社開始著手建立合規(guī)風險管理體系����,組建了相對獨立的合規(guī)部門,配備了合規(guī)風險管理人員���。但從目前情況看����,農村信用社在合規(guī)風險管理機制上仍存在一定缺陷:一是合規(guī)管理沒有完善��、垂直的合規(guī)風險管理體制還沒有完全形成����。大多數農村信用社還沒有成立獨立的合規(guī)風險管理部門來對合規(guī)風險進行統籌管理,還沒有形成橫向到邊�����、縱向到底的全面和全方位的合規(guī)風險管理架構��。二是合規(guī)風險管理職責分散��。
3����、合規(guī)風險管理法規(guī)制度缺乏可操作性
近年來���,通過改革發(fā)展����,農村信用社在制度建設方面取得了長足進步,但執(zhí)行力低下的問題使大量的制度形同虛設�����,導致案件頻發(fā)��。主要原因是農村信用社內部缺乏一個統一完整��、全面科學的合規(guī)風險管理法規(guī)制度及操作規(guī)則����,不少制度規(guī)定有粗略化、大致化�、模糊化現象,缺乏可操作性��。同時合規(guī)風險管理的激勵約束機制不健全�����,獎勵力度較小,懲罰措施較輕�����。一般情況下�����,只要沒有損失或案件�����,對違規(guī)人員往往只采取教育�、經濟處罰和限期整改等措施,很少進行嚴厲處分���,對于造成損失或釀成案件的人員����,問責也不到位�����。
二、進一步加強農村信用社合規(guī)風險管理的政策建議
農村信用社合規(guī)風險管理建設尚處于起步階段�����,要形成科學有效的合規(guī)管理機制仍需要一個不斷積累和完善的過程���。為徹底解決以上存在問題��,促進農村信用社合規(guī)風險管理活動的順利開展,真正提高合規(guī)風險管理水平�,提出以下改進建議:
1、履行明確的合規(guī)管理職責
明確合規(guī)管理職責是構建合規(guī)風險管理運行機制的必要前提�����。合規(guī)管理職責的進一步明確�����,需要深入了解合規(guī)工作的特性�。一是獨立性;即合規(guī)部門須獨立于各業(yè)務條線發(fā)揮作用����。二是權威性���;合規(guī)部門須在經營管理中發(fā)揮至關重要的作用,要向高管層提出經營管理中的合規(guī)意見和建議����。三是全面性;合規(guī)管理工作須滲透到各業(yè)務單元和條線��,與業(yè)務管理實現“無縫對接”���。四是預警性�;合規(guī)部門須對外部法律法規(guī)及時反應��,向業(yè)務部門提供信息進行預警�。五是動態(tài)性;合規(guī)風險預警���、提示及對各類信息的反應須是動態(tài)的���、實時的。六是協調性��;合規(guī)部門與其他業(yè)務部門及內審部門的關系應當是協調合作,而不是“警察與小偷”的關系���。
2����、按照“高標準����、高起點”的要求,加強合規(guī)風險管理的統一協調性���。
合規(guī)風險管理對農村信用社來說還是一新事物�,又是一個艱巨的系統工程��,受人力�、財力和自身創(chuàng)新能力所限��,以縣為單位的聯社很難獨立構建起真正的合規(guī)風險管理體系����,難以發(fā)揮合規(guī)風險管理對業(yè)務經營的正向促進作用。因此��,建議農村信用社省市級管理機構,從省市農村信用社全局出發(fā)���,自上而下的集中創(chuàng)新一套全面���、系統、專業(yè)和統一的合規(guī)風險識別�、評估、監(jiān)測和防范體系��,經試點后����,在全省集中推廣,以省或市為單位構建起全省農村信用社合規(guī)風險管理體系�。
3、實施嚴格的合規(guī)管理制度建立誠信舉報機制��,就是要讓那些不守規(guī)矩��、不講誠信的人有一種外在的壓力��,讓他們知道還有一雙雙眼睛盯著���,促進他們在思想上時刻牢記�����、行為上處處體現銀行業(yè)金融機構最高標準的職業(yè)操守�����,把合規(guī)管理部門作為誠信舉報的重要渠道之一����,建立違規(guī)舉報機制,為內部員工舉報違規(guī)��、違法行為提供必要的渠道和途徑����,并對舉報人進行有效保護。
4�����、建設高素質的員工隊伍��,奠定實施合規(guī)風險管理的人力資源基礎在合規(guī)風險管理中���,人是合規(guī)風險管理實踐活動的主體����,需要充分發(fā)揮積極性創(chuàng)造性主動性���;同時���,人又是合規(guī)風險管理實踐的首要對象,人的風險是最大的風險��,要實現兩者的有機統一��,必須建立一支高素質的風險管理隊伍���。要廣泛深入開展合規(guī)風險管理活動,通過開展諸如學習會���、討論會����、征文比賽����、考試測試等一系列員工樂于接受的活動形式����,廣泛深入的教育廣大員工�����,增強員工自主合規(guī)意識����,培育良好合規(guī)文化,提高員工執(zhí)行力���,確保各項法律法規(guī)規(guī)定在農村信用社的貫徹落實���。建立起一支適用于合規(guī)合規(guī)風險管理的專業(yè)化人才團隊,切實提高農村信用社合規(guī)風險管理水平�����,促進業(yè)務經營的健康發(fā)展���。5、營造健康有序的合規(guī)風險文化氛圍
營造健康有序的合規(guī)文化氛圍是合規(guī)風險管理最難以把握����,但卻能深深影響銀行每位員工合規(guī)意識的工作�。要樹立主動合規(guī)的合規(guī)文化����,倡導主動發(fā)現和暴露合規(guī)風險隱患或問題,并相應地在業(yè)務政策��、行為手冊和操作程序上進行適當的改進����。過去那種“以習慣代替制度,以情面代替處罰”的舊的文化一定要加以摒棄�����,取而代之的正應當是主動合規(guī)���、自覺合規(guī)�、上下合規(guī)�����、內外合規(guī)的全面合規(guī)時代的到來���。
擴展閱讀:農村信用社信息科技風險管理存在的問題及建議
基層農村信用社信息科技風險管理
存在的問題及建議
隨著農信社信息化的發(fā)展,信息科技的作用已從業(yè)務支持逐步走向與業(yè)務的融合�����,并成為農信社穩(wěn)健運營和發(fā)展的支柱����,然而,對于信息科技風險管控尚處于起步階段�,如何最大限度地防范信息科技風險,充分享受信息科技帶來的便捷和效率����,已成為當前我們必須認真研究的一個重要課題,信息科技風險防范工作亟待加強�����。為此�����,近期臨夏銀監(jiān)分局深入轄內信用社�,了解信息科技風險管理情況,掌握信息科技風險管理水平,督促其建立有效的信息科技風險管理機制�����,增強信息科技風險的控制能力��。
一�����、當前農村信用社信息科技風險管理存在的主要問題信息科技�����,是指商業(yè)銀行采用計算機���、通信、微電子和軟件工程等現代信息技術���,在業(yè)務交易處理�����、經營管理和內部控制等方面的應用���,并包括專項治理�、建立完整的管理組織架構����、制定完善的管理策略和制度。信息科技風險��,是指信息科技在商業(yè)銀行運用過程中��,由于自然因素�����、人為因素�、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險���。由于近年來農村信用社各項業(yè)務快速發(fā)展���,信息化水平的不斷提高,新設備�����、新技術、新程序的大量應用�,信息科技風險防范工作亦面臨著新的形勢、新的情況和新的問題�����,呈現出多元發(fā)展的趨勢其風險范疇也從單一的技術領域延伸至投資�����、經營��、管理的各個層面�����。
(一)信息科技治理管理架構存在缺陷�。
一是思想認識不到位��。目前���,基層農信聯社管理層普遍存在著重視信息科技建設�����、輕信息科技管理�,重信息科技建設的檔次提升、輕信息科技風險防范��,重眼前業(yè)務發(fā)展�、輕長期信息科技發(fā)規(guī)劃等問題,缺乏對信息科技的關注和統籌安排��,對信息科技的風險了解不多�����,信息科技工作的實際地位在基層信用社是“說起來重要��、做起來急著要��,排起隊來次要��,出了問題什么都不要”����,信息科技風險管理相對薄弱。二是制度制定�����、執(zhí)行不到位。信用社制訂的信息科技制度分散于其他管理制度中���,不具系統性�����,且操作性也不強��,沒有形成一整套完善有效的信息科技風險管理制度���。即便是制定了一些制度��,但落實不到位����,制度的約束性形同虛設。
(二)機制保障及應急預案有待完善�。
農信社網點機構的應急預案僅停留在形式上。盡管各社制定了系統應急預案�����,但仍有部分社從未進行過應急演練��,也沒有進行過壓力測試,并不能保證及時處事故或緊急事件;部分社應急預案涵蓋面過大�����,缺乏針對性和操作性��,影響應急預案的實效部分信用社業(yè)務連續(xù)性缺乏有效技術支持���,且涵蓋范圍小�����,大部分局限在網絡及數據的備份層次���。此外,多數沒有成立業(yè)務連續(xù)性管理委員會一類的領導組織���,在發(fā)生業(yè)務連續(xù)性風險時�,統一指揮��、協調存在一定困難��。重要信息系統的應急預案多數缺乏實踐性檢驗��,其可行性和可操作性不能得到有效保證。對于已制定的應急預案����,沒有覆蓋全部信息系統、關鍵設施及相關業(yè)務保障部門����,沒有詳細的操作方法和步驟,可操作性不強����,影響應急預案的實效。
(三)信息科技人員力量薄弱�。
一是科技力量相對薄弱。信息科技管理部門人員配備不足�,科技人員數量與轄內網點數量嚴重不匹配��,由此造成系統開發(fā)����、技術支持、系統操作維護和系統安全崗位交叉�����,往往身兼數崗,關鍵崗位A����、B角制度難以落實;技術支持崗位未能實現崗位定期輪換,缺乏專門的技術風險管理部門或崗位進行有效的監(jiān)督約束�����,不能有效識別并量化可能存在的信息科技風險因素�����。
三是科技人員知識水平不高����。大部分機構普遍存在缺乏專業(yè)高素質人員,而且隨著信息化知識的更新步伐�,科技隊伍工作人員的學習培訓跟不上知識更新步伐,參加信息科技風險培訓較少�,缺少完整、系統的信息科技風險的概念和相關知識�����,對自身運營的業(yè)務系統���、機房管理等實體系統認識較深�����,對信息科技項目開發(fā)和變更管理情況��、業(yè)務持續(xù)性計劃等認識較為膚淺��,部分人員甚至在信息科技風險就是保證業(yè)務系統正常運轉的錯誤觀念�����,極易忽視了自身各級系統的漏洞和隱患排查��、除險����,在認知上存在著對風險防范的盲區(qū)和誤區(qū)。
四是一線操作人員風險意識淡薄�����。信息科技風險需要全員參與�,上至高層領導的決策���,下至每位臨柜人員都是風險的防范者�,但目前在一線操作人員中,尚未形成人人有責的共識��,廣大員工對信息安全的重要性若罔聞���。
由于科技部門在農村信用社屬于服務部門��,部分高管層認為����,科技部門只要能夠保證設備及網絡的正常運轉��,不出問題就可以�。這一認識誤區(qū)造成了科技部門的人員配備、機構設上相對其他部門處于弱勢地位��。例如:永靖縣農村信用合作聯社信息科技人員只有一名���,基層社沒有信息科技人員���。他除了進行日常綜合業(yè)務系統維護外,往往還要身兼數崗,關鍵崗位輪換�����、強制休假等制度難以落實�,不能適應當前業(yè)務拓展與IT水平同步發(fā)展的需要。以此來看��,農村信用社信息科技人員的配備與當前信息系統的高速發(fā)展不相匹配�����,這些都是容易導致信息科技風險發(fā)生的重大隱患�����。
(四)系統硬件建設存在安全隱患�����。一是機房管理有待加強�����。機房的防火和供電等方面達不到要求���,機房沒有設防雷系統�,監(jiān)控存在盲區(qū)�、不設門禁系統;基層社對電子設備缺乏保養(yǎng)��,大大影響使用效果和使用壽命���,存在一定的技術風險�。二是網絡運行安全有待提高��。省聯社數據大集中后����,基層農信社、縣級聯社到省聯社的網絡穩(wěn)定性和通暢性極為重要�,而其主、備通訊線路違反要求使用電信一家通訊公司線路��,一旦一個網點出現問題���,工作就會受到影響�,存在潛在的聲譽風險�。
二、加強信息科技風險管理的對策建議
(一)提高思想認識,加大科技投入���。信息科技工作是當前金融機構經營與監(jiān)管的重要基礎和技術保障�����,必須充分認識信息科技工作在金融業(yè)監(jiān)管中的重要作用��,切實加強對信息科技風險監(jiān)管工作的組織領導��。農村信用合作聯社要提高思想認識���,深刻理解信息科技風險管理的重要性,將信息科技風險管理納入到全面風險管理之中��。另外��,還要根據現場檢查發(fā)現的信息科技風險點���,加大信息科技建設投入����,積極整改��,對設備老化、硬件設備不足等風險點要積極加以改進���,及時消除信息科技系統中存在的各種風險和隱患,確保各項服務安全連續(xù)進行�����。
(二)完善應急預案���,加強應急演練�,提高系統響應能力��。一是應定期��、不定期開展信息科技人員應急管理培訓��,并根據自身規(guī)模����、復雜程度及風險發(fā)生部位、概率和危害程度����,及時組織信息科技應急預案演練�����,并不斷修改完善應急預案內容�,提高對各類突發(fā)事件的處能力���。二是要高度重視���,切實加強信息系統業(yè)務連續(xù)性管理,增強信息科技應急處能力���。要嚴格按照《突發(fā)事件應對法》�����、《國家金融突發(fā)事件應急預案》等法律法規(guī)要求�����,結合自身實際��,加快應急體系建設��,加強業(yè)務持續(xù)性應急演練���。三是進一步完善應急演練方案���,切實提高應急水平和能力。要做到責任明確�、流程明確、預案明確����、報告明確��、聯絡明確����,制定切實可行、要件完備的應急方案��。同時要加大應急方案的演練���,熟練掌握各種應急手段���,提高抗風險能力和突發(fā)事件應對能力,不斷完善信息系統安全運行體系��。
(三)充實科技監(jiān)管隊伍,加強內控管理�。要采取切實措施,大量引進信息科技專業(yè)人員�,加大信息科技人才培訓力度,按照銀監(jiān)會《商業(yè)銀行信息科技風險管理指引》的要求�����,充實信息科技審計力量����,完善管理制度,嚴格按照管理���、運行�����、維護等崗位配備人員��,關鍵崗位必須配備AB角��,真正做到人員控制����、制度控制、系統控制三到位�����。要加強要害崗位管理��,計算機業(yè)務數據錄入員�、系統管理員之間,應按照權力��、責任范圍實行嚴格的限制�,相互制約��、互相監(jiān)督�,嚴禁系統管理人員、網絡技術人員和前臺操作人員混崗�����、代崗或一人多崗�����。同時要制定信息科技風險審計辦法�����,定期對信息科技風險狀況進行審計評價,督促建立技術安全保障體系��。要加大信息科技安全檢查力度�,定期和不定期進行安全檢查,及時糾正問題和消除隱患���。
(四)改善運行環(huán)境�,加強信息科技風險培訓�。一是要采取有效措施,改善機房的供電系統和消防安全狀況����,按照機房建設要求增加防雷系統,更新核心業(yè)務系統設備���,保證核心業(yè)務系統雙機熱備不間斷工作���;要完善運行值班制度,保證對核心業(yè)務系統及網絡運行狀況的有效監(jiān)控�,針對故障進行有效的預測和報警。二是要加大對信息科技風險的培訓力度,建議抽調一些業(yè)務骨干進行專門的信息科技培訓���,通過對信息科技的專項培訓��,培養(yǎng)一批專門從事信息科技工作的干部���,保障信息系統的安全、穩(wěn)健運行�。
隨著農信社信息化的發(fā)展,信息科技的作用已從業(yè)務支持逐步走向與業(yè)務的融合,并成為農信社穩(wěn)健運營和發(fā)展的支柱�,然而,對于信息科技風險管控尚處于起步階段��,如何最大限度地防范信息科技風險���,充分享受信息科技帶來的便捷和效率�����,已成為當前我們必須認真研究的一個重要課題,信息科技風險防范工作亟待加強�。
一、當前信息科技風險防范工作中存在的主要問題信息科技�����,是指商業(yè)銀行采用計算機、通信����、微電子和軟件工程等現代信息技術,在業(yè)務交易處理�、經營管理和內部控制等方面的應用,并包括專項治理�����、建立完整的管理組織架構����、制定完善的管理策略和制度。信息科技風險���,是指信息科技在商業(yè)銀行運用過程中�����,由于自然因素�、人為因素��、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險�。由于近年來農村信用社各項業(yè)務快速發(fā)展,信息化水平的不斷提高���,新設備���、新技術、新程序的大量應用���,信息科技風險防范工作亦面臨著新的形勢��、新的情況和新的問題�,呈現出多元發(fā)展的趨勢其風險范疇也從單一的技術領域延伸至投資����、經營、管理的各個層面�����。
(一)對信息科技風險認識不到位
一是思想認識不到位�。目前�,基層農信聯社管理層普遍存在著重視信息科技建設、輕信息科技管理,重信息科技建設的檔次提升��、輕信息科技風險防范���,重眼前業(yè)務發(fā)展��、輕長期信息科技發(fā)規(guī)劃等問題�����,缺乏對信息科技的關注和統籌安排���,對信息科技的風險了解不多,信息科技工作的實際地位在基層信用社是“說起來重要�����、做起來急著要�,排起隊來次要,出了問題什么都不要”�����,信息科技風險管理相對薄弱����。
二是科技力量相對薄弱����。信息科技管理部門人員配備不足���,科技人員數量與轄內網點數量嚴重不匹配�,由此造成系統開發(fā)��、技術支持�����、系統操作維護和系統安全崗位交叉���,往往身兼數崗����,關鍵崗位A����、B角制度難以落實;技術支持崗位未能實現崗位定期輪換,缺乏專門的技術風險管理部門或崗位進行有效的監(jiān)督約束�,不能有效識別并量化可能存在的信息科技風險因素。
三是科技人員知識水平不高��。大部分機構普遍存在缺乏專業(yè)高素質人員���,而且隨著信息化知識的更新步伐��,科技隊伍工作人員的學習培訓跟不上知識更新步伐��,參加信息科技風險培訓較少�����,缺少完整��、系統的信息科技風險的概念和相關知識��,對自身運營的業(yè)務系統����、機房管理等實體系統認識較深�����,對信息科技項目開發(fā)和變更管理情況��、業(yè)務持續(xù)性計劃等認識較為膚淺,部分人員甚至在信息科技風險就是保證業(yè)務系統正常運轉的錯誤觀念���,極易忽視了自身各級系統的漏洞和隱患排查���、除險,在認知上存在著對風險防范的盲區(qū)和誤區(qū)���。
四是一線操作人員風險意識淡薄�。信息科技風險需要全員參與�����,上至高層領導的決策��,下至每位臨柜人員都是風險的防范者�,但目前在一線操作人員中,尚未形成人人有責的共識�,廣大員工對信息安全的重要性若罔聞。
(二)信息科技風險管理制度不到位
一是管控體系不完善�����。雖然農村合作金融機構均成立了信息安全領導小組,但多數未真正實施起信息科技風險管理的領導決策職責�����,信息科技風險管控目標尚未確立�,主要表現在多數農信社的理事會未制定信息科技發(fā)展的長遠規(guī)劃或發(fā)展策略����,僅在每年股東大會或理事會季度例會上對信息科技設備的購作簡要的說明,信息科技風險防范的目標幾乎沒有涉及�。
二是管控制度不系統。部分基層聯社沒有制定專門的科技風險管理制度��,有制度的又大多分散于其他管理制度中��,不具有系統性�,且操作性也不強,缺乏具體的識別����、監(jiān)測和控制風險的措施。
三是制度執(zhí)行不到位���。很多單位不能嚴格執(zhí)行相關計算機應用管理制度和中心機房管理規(guī)定;有的對信息系統運行保障工作重視不夠����,未建立健全信息系統運行巡查制度,無法及時發(fā)現機房�、主機、數據庫等系統運行的異常情況及故障;有的對機房運行日志未按規(guī)定進行登記���,文檔不完整;部分新型設備購買后未及時更新相關的管理制度�����,制度沒有隨著信息資產的升級而更新���,不能起到防范風險的作用;在基層網點操作人員未按制度進行授權操作,未按流程進行業(yè)務辦理���,制度人為地架空��。
(三)信息科技風險管控不到位
一是風險管控操作不規(guī)范��。目前基層一線大部分操作人員防范科技風險意識淡薄�,安全認證和訪問控制防范意識差�,存在樸素地感情信任,出現違規(guī)上崗��、共用柜員號、一人多號����、不按規(guī)定更改密碼、密碼設簡單���、系統自錄登錄等問題;在授權管理上��,存在交叉授權�、授權未審核業(yè)務等問題����,存在較大的風險隱患��。而新注入的新生人員力量在大環(huán)境的影響下也未能嚴格按照制度執(zhí)行�����,致使人為操作風險不能從根本上扭轉�。
二是風險管控職能不健全。農信社均設了風險管理部門�����,但基本上僅履行管控資產、負債類業(yè)務風險的職能�����,并未涵蓋信息科技風險����。科技風險管理工作主要由科技部門負責�,而科技部門是信息系統的建設者和維護者,由其承擔科技風險管理職能����,缺少必要的技術人員和有效手段,內部審計不能形成有效的制衡機制����。
三是外部制約控制不到位。轄內所有法人機構及營業(yè)網點均未接受有關信息科技風險的外部評估���,各級機構向監(jiān)管部門提供的審計檢查報告多是在信息科技人員自我評價的基礎上形成的��,這種“既當運動員又當裁判員”的評估���,易給農信社帶來信息科技審計制約風險���。
四是科技信息衍生品風險管理不到位。隨著銀行卡業(yè)務的迅速擴張和競爭的日趨激烈�,有關銀行卡方面的投訴、糾紛��、案件頻發(fā)��,銀行卡業(yè)務風險處于多發(fā)��、高發(fā)期���。銀行卡業(yè)務主要風險包括:通過ATM機取現�����、POS機套現(消費)或網絡(電話)轉賬等形式而發(fā)生的外部欺詐風險;特約商戶非法交易或違章操作引起持卡人或發(fā)卡機構資金損失的中介機構職務之便與不法分子勾結、串通作案造成的內部操作風險���。這些風險不僅對客戶及銀行的資金安全造成威脅���,對銀行的聲譽也造成了嚴重影響。
(四)系統性管理不到位
一是科技硬件基礎設施薄弱��。目前,農信社機房的建設不達標���,個別聯社的機房簡陋�,甚至未達到國家機房建設的最低C級標準���,已建成的新機房也因前期協調��、資金等問題��,存在漏洞�,部分聯社的機房防雷�、消防等設施均未配備,一旦發(fā)生機房失火或雷擊等突發(fā)性事故���,核心業(yè)務系統或網絡中樞將遭受損害;對于網絡運行環(huán)境而言��,數據大集中和前機后移���,都需要極穩(wěn)定的網絡環(huán)境支撐,從鄉(xiāng)鎮(zhèn)到縣中心機房��,再到市��、省中心,任何環(huán)節(jié)網絡不暢都會導致業(yè)務的中斷�,農信社核心網絡設備使用期限已達7年,且基層農信社也沒購備用網絡設備��,一旦設備損壞����,極易造成業(yè)務中斷;現在農信社均實行了內、外網絡的物理隔離����,但對移動設備的管理缺乏有效的制約手段,極易導致外網病毒通過移動設備傳播和感染到內網未打補丁包的windows類操作系統���,這導致內網帶寬被侵占�����,從而影響業(yè)務系統的運行。
二是系統軟件設計存在缺陷����。目前,農信社使用的IT系統的核心為綜合業(yè)務系統和信貸管理系統��,是由省中心開發(fā)的,基本能滿足業(yè)務操作的需要����,但這些系統風險管控功能、報表分析功能不強��。如:綜合業(yè)務管理平臺的事后補救措施和升級在逐步開展����,系統變更與投產過于頻繁,增大了開發(fā)與維護人員工作壓力�����,也影響了前臺業(yè)務質量;信貸業(yè)務管理系統在設計時未能考慮銀監(jiān)部門信貸風險控制的基本要求�,沒有設貸款集中度風險、集團授信風險等風險提示模塊��,從而導致系統無法適時提示上述風險;業(yè)務流程控制缺陷較多��,部分信貸業(yè)務辦理不受信貸管理系統控制����,信貸管理系統對貼現科目控制存在漏洞,貼現科目無需信貸管理系統授權����,通過綜合業(yè)務系統的會計前臺即可辦理該項業(yè)務��,既無制約功能�����,也不能信息共享等問題����。
三是應急預案不完善���。農新社網點機構的應急預案僅停留在形式上��。盡管各社制定了系統應急預案��,但仍有部分社從未進行過應急演練��,也沒有進行過壓力測試���,并不能保證及時處事故或緊急事件;部分社應急預案涵蓋面過大,缺乏針對性和操作性����,影響應急預案的實效。
二�、加強農信社科技信息風險防控的對策和建議農信社應按照《商業(yè)銀行信息科技風險管理指引》要求,從業(yè)務需求出發(fā)����,加強信息科技風險管控,從“要我做”變?yōu)椤拔乙觥�����,做到事前有預防��、事中有控制和事后有檢查����,將技術防范為主的被動信息安全工作,轉變?yōu)橐灶A防為主的主動信息科技風險管控����。
(一)加強信息科技風險防范的組織領導和隊伍建設一是各級領導要站在維護社會秩序和促進農信社發(fā)展的高度,充分認識信息科技安全的緊迫性和重要性�����,要看到農信社的現狀和未來,要看到近幾年農信社信息化得迅速發(fā)展和展望未來的廣大前景�,要充分認識IT價值,要明確信息科技風險管理目標�����,要將信息科技風險納入自身的總體風險框架�,聯社理事長作為信息科技風險的第一責任人,負責組織貫徹落實�。
二是完善信息科技風險管理機制。要處理好業(yè)務發(fā)展與信息科技風險防范之間的關系����,建立全系統自上而下的信息科技風險管理體系,實現對信息科技風險的識別���、計量��、監(jiān)測和控制��,嚴格落實相關責任制和事故追究責任制�����,積極采取措施消除信息科技風險重大隱患�����,推動業(yè)務創(chuàng)新�����,提高信息技術使用水平��,增強核心競爭力和可持續(xù)發(fā)展能力���。
三是建立相應的激勵和約束機制,打造一支穩(wěn)定���、團結����、高效的科技隊伍�。首先,要加強職業(yè)道德和法律法規(guī)教育����,提高科技隊伍的思想政治素質,嚴格要害崗位人員的審查��,從思想上筑起一道防范信息科技風險的“防火墻”;其次,要實施科技人員梯隊管理��。要將全市科技人員按照管理人員���、計算機安全管理員��、計算機操作人員進行分類管理�,按照市�、縣兩級組織實施級別管理,市級以縣級聯社管理人員為管控重點�����,縣級聯社以計算機安全管理員為重點管理對象,計算機安全管理員重點保障基層操作人員的正常業(yè)務操作,現從上到下��、從市到縣、從機關到網點的逐級有序管理,使科技工作風險管控的觸角延伸到每一個網點,到每一項業(yè)務的正常開展�。
四是要建立相應的激勵機制��。要從“業(yè)務發(fā)展��,科技為先”的戰(zhàn)略高度上認識�����,建立科學合理的薪酬激勵機制,在物質待遇上給予保證�����,建立科學的短期�、中期����、長期的崗位目標,才能起到激勵作用��,使從事科技特殊崗位的人員在心理上得到平衡�����。
(二)加強信息科技風險防范的制度建設和執(zhí)行
是整合和健全信息科技風險管理制度�����。按照新《指引》要求�,對可能出現的管理漏洞等問題,查缺補漏��,調整優(yōu)化,嚴格評估信息安全內控體系的完整性和實施的有效性����,對科技風險管理制度和操作規(guī)程進行梳理和歸類,堵塞漏洞�,使其具有系統性和可操作性。
二是加大科技投入���,采用先進技術防范措施����,保證制度的貫徹執(zhí)行���。要積極推廣應用指紋認證系統��,建立有效的管理用戶認證和訪問控制機制���,使用戶對數據和系統訪問必須選擇與信息訪問級別相匹配的認證機制,確保密匙使用安全;要通過風險預警和客戶評價系統���,提高技術防范手段���,加強后臺監(jiān)督�����,嚴格控制操作風險;要通過改善門禁系統��、防雷�、消防等硬件設施�����,發(fā)展和使用計算機加密技術�、訪問控制技術�����、“防火墻”技術����、病毒防治技術和監(jiān)控技術,筑起多道計算機安全防范屏障���,以科技技術保障制度的落實���。三是加強員工培訓學習���,強化防范操作風險執(zhí)行力度。要強化信息安全思想教育���,強調科技風險防范人人有責����,安全性和便利性要由大家形成共識的折中�,每個人都要承擔安全責任;要重點抓好網點一線臨柜人員計算機知識的普及和定期輪訓培訓工作,嚴格落實上崗資格考試�����、崗位輪換和強制休假制度;要對業(yè)務操作人員按照權限�、責任范圍實行嚴格的限制,相互制約��、互相監(jiān)督��,防止權限過于集中�����,避免出現管理空檔;科技工作人員要以高度的責任心和使命感��,腳踏實地的工作態(tài)度,立足崗位��,做好本職工作�����,不斷更新現有知識架構����,積極學習新業(yè)務、新知識��,全面提高自身素養(yǎng)�����,為更好地做好科技工作夯實基礎��。
(三)加強信息科技風險防范的審計檢查和監(jiān)督
一是要探索信息科技風險監(jiān)測手段�����。積極探索信息系統風險識別����、監(jiān)測和控制的技術和手段,及時發(fā)現信息系統的風險�,并進行整改和補救。目前�����,市中心在機房斷電���、柜員簽退等方面開發(fā)了短信監(jiān)控平臺����、柜員簽退實時監(jiān)控系統��,在這方面做出了有益地探索����。
二是加強科技信息風險現場檢查,及時糾正問題和消除隱患。要著手開發(fā)信息系統的現場檢查程序�,建立檢查制度,綜合運用數據檢查�����、情景模擬或聯網檢查的手段,及時查找和發(fā)現信息系統的問題和不足���。三是要加強外部審計監(jiān)督���。建立信息科技風險管理交流平臺,對信息系統的研發(fā)����、運行及退出的全過程進行審計,對可能發(fā)生的信息科技安全事故進行調查����、分析和評估,及時識別��、監(jiān)測和防范信息科技風險��。同時����,與人民銀行��、銀監(jiān)部門協調溝通���,加強資源集成��,提高信息科技風險監(jiān)管合力��,定期對信息科技系統全面性��、安全性���、完整性和可靠性進行審計和評價����,全面�����、深入地反映信息系統的整體狀況和主要風險�����,查找漏洞�����,確定相應的整改措施����。也可適時引入社會力量�,委托外部IT審計部門開展信息系統的外部評價和審計����,促進信息系統自身和相關管理水平的提高。
(四)加強信息科技風險防范的重點環(huán)節(jié)
一是要提高信息系統運行保障能力�。要加大科技軟硬件設施投入,消除單點故障隱患��,要了解掌握各類業(yè)務系統�、信息化建設、安全管理���、消防等多方位�、全方面的知識��,按照標準化要求實施信息化建設��,正在建設機房的縣級聯社要科學�����、合理地進行機房建設施工�,機房不達標的縣級聯社要逐步進行設備設施更新改造,夯實信息科技風險防范的基礎����。
二是完善信息系統安全運行體系。設立信息科技風險管理崗位����,嚴格執(zhí)行開發(fā)、運行���、維護等崗位分離及關鍵崗位的A�����、B角配備;要做好生產系統維護和保護工作����,尤其是要加強前機����、路由器和交換機的檢查,注重外網的安全性��,嚴禁傳輸敏感數據�����,非敏感數據通過互聯網傳輸,要嚴防黑客攻擊����,要做好應對網絡攻擊相關準備和實時監(jiān)測工作;對機房、網絡設備�����、主機設備�、網絡及數據訪問、科技人員操作風險等方面進行全面安全評估�����。
三是加強業(yè)務系統風險管控����。對由于IT系統的缺陷和不足,省中心正在逐步進行改進和升級�,各級科技管理部門要認真配合組織實施,對于系統問題引發(fā)的問題以及錯誤���,要總結教訓并認真整改�����,做到人員控制����、制度控制����、系統控制三到位。
四是要加強溝通���,做好應急處理��。要進一步加強與監(jiān)管部門��、人民銀行�、電信運營商以及設備廠商等外部單位之間的溝通協調��,確保信息系統事件發(fā)生時外部協作的及時有效�。制定應急預案并定期組織演練,從應急響應����、應急決策���、應急預案等方面做好應急工作,提高應急處能力��,提高抗風險能力和突發(fā)事件應對能力�。
一、當前農村信用社信息科技風險管理中存在的主要問題目前農村信用社對信息科技風險的管理相對薄弱����,管理層缺乏對信息科技的關注和統籌安排,對信息科技的風險了解不多��,導致一些風險事項時有發(fā)生�����,存在以下幾個突出問題�����。
(一)對信息科技風險認識不到位����。從調查發(fā)現,信息科技管理部門人員配備不足�����,參加信息科技風險培訓較少,缺少完整����、系統的信息科技風險的概念和相關知識,對自身運營的業(yè)務系統����、機房管理��、ATM等實體系統認識較深�,對信息科技項目開發(fā)和變更管理情況、業(yè)務持續(xù)性計劃等認識較為膚淺���,部分人員甚至在信息科技風險就是保證業(yè)務系統正常運轉的錯誤觀念�,極易忽視了自身各級系統的漏洞和隱患排查�����、除險��。
(二)組織機構及崗位設不到位���。各級管理層沒有成立相關信息科技風險管理的領導和決策機構����,科技部門獨立于其它業(yè)務部門之外現象比較普遍人員數量不足,系統開發(fā)��、技術支持����、系統操作維護和系統安全不能嚴格分開,主要技術支持崗位未實現崗位定期輪換��。缺乏專門的技術風險管理部門或崗位進行有效的監(jiān)督約束��,不能有效識別并量化可能存在的信息科技風險因素����。
(三)制度制定與制度執(zhí)行不到位。很多單位不能嚴格執(zhí)行相關計算機應用管理制度和中心機房管理規(guī)定�����,項目資料文檔不完整��,缺少部分年度的項目資料文檔,有的對機房運行日志未按規(guī)定進行登記��,部分新型設備購買后未及時更新相關的管理制度��,制度沒有隨著信息資產的升級而更新�����,不能起到防范風險的作用�。
(四)外部制約與風險控制環(huán)節(jié)不到位。轄內所有法人機構及營業(yè)網點均未接受有關信息科技風險的外部評估�����,部分機構向監(jiān)管部門提供的審計檢查報告多是在信息科技人員自我評價的基礎上形成的�,這種“既當運動員又當裁判員”的評估���,易給金融機構帶來信息科技審計制約風險���。尤其是項目開發(fā)外包管理缺乏有效的風險防范手段,沒有經常性的對外包服務商近期經營狀況和提供的服務狀況進行評價和報告��,缺乏對外包商有效的監(jiān)督和約束��;沒有正式經過批準的針對外包服務商的應急方案和解除服務方案。業(yè)務需求部門隨意性強�����,系統變更與投產過于頻繁��,增大了開發(fā)與維護人員工作壓力���,也影響了前臺業(yè)務質量���。
(五)科技信息衍生品風險管理不到位。隨著銀行卡業(yè)務的迅速擴張和競爭的日趨激烈����,有關銀行卡方面的投訴、糾紛���、案件頻發(fā)��,銀行卡業(yè)務風險處于多發(fā)�、高發(fā)期����。銀行卡業(yè)務主要風險包括:通過ATM機取現����、POS機套現(消費)或網絡(電話)轉賬等形式而發(fā)生的外部欺詐風險��;特約商戶非法交易或違章操作引起持卡人或發(fā)卡機構資金損失的中介機構職務之便與不法分子勾結���、串通作案造成的內部操作風險���。這些風險不僅對客戶及銀行的資金安全造成威脅,對銀行的聲譽也造成了嚴重影響��。
二��、加強信息科技風險防范的對策
(一)加強培訓學習的頻度和濃度��。要結合銀監(jiān)會有關銀行業(yè)金融機構信息科技風險管理文件要求���,組織對轄內信息科技人員培訓、學習和貫徹�����。重點學習好201*年以來銀監(jiān)會下發(fā)的有關信息科技風險監(jiān)管方面的文件���,目的就是通過系統地學習和培訓���,讓相關人員掌握銀監(jiān)會有關信息風險監(jiān)管的要求����,自覺地在工作中貫徹執(zhí)行�。多組織轄內員工收看銀監(jiān)會有關信用卡收單風險管理培訓等方面的講座。
(二)建立多種層面的防范聯動協機制���。一是要建立各級信息科技負責人聯席會議制度���,及時傳達學習銀監(jiān)會和山東銀監(jiān)局信息科技風險監(jiān)管文件、要求�,開展經驗交流,共同研究和解決工作中出現的新問題�、新情況。二是要建立統計信息部門與各業(yè)務部門之間的聯動機制�����,實現各部門間的防范優(yōu)勢互補和信息共享����,形成監(jiān)管合力���。三是各銀行業(yè)機構也要建立內部信息科技風險的協調機制,由一名行級領導牽頭成立協調組織機構���,將信息科技作為各業(yè)務條線的結合點�,統籌研究���,明確責任����,自查本行信息科技方面存在的問題��,遇到內部不能協調解決的問題時����,要及時同監(jiān)管部門溝通,共同解決���。
(三)完善信息科技風險內控制度����。要按照銀監(jiān)會《銀行業(yè)金融機構信息系統風險管理指引》的要求�����,對可能出現的管理漏洞和執(zhí)行不嚴等問題���,查缺補漏���,調整優(yōu)化,嚴格評估信息安全內控體系的完整性和實施的有效性�����。轄內各機構���、各網點要主動開展一次內部審計���,有條件的法人機構要開展一次外部審計。要嚴格按照銀監(jiān)會要求和部署��,適時組織開展對轄內機構信息科技風險狀況的現場檢查�。(四)加強銀行卡、POS機市場營銷和電子銀行類業(yè)務的風險防范�����。近幾年,銀行卡和電子銀行業(yè)務方面的風險防范形勢較為嚴峻�,犯罪分子利用銀行卡、網上銀行�、ATM、POS等金融機具實施的不法活動日益增加��,犯罪手段在不斷翻新��。各級農村信社要密切關注并采取必要的手段防范可能出現的風險�����。要加大消費者的風險提示����,通過公眾金融服務教育提高消費者的風險意識。不斷加大技術手段防范��,通過網上銀行實施雙重身份認證�����,限制電子銀行�、POS或ATM轉賬交易金融等方式加強管理,并加強對上述渠道的監(jiān)控監(jiān)測。要按照銀聯銀行內卡業(yè)務一柜一機的要求���,禁止通過各種不正當方式進行無序競爭。嚴禁為推行發(fā)卡量�����、POS機具數量而放松審查����,使不法商戶非法套現、編造虛假資料套取銀聯機具�、POS機具異地安裝等行為有可乘之機。還要充分借助特約商戶的力量和社會舉報力量����,增強風險防范合力。
(五)加強信息系統風險管理與防范�����。各級農村信用社要按照銀監(jiān)會下發(fā)的《關于北京奧運會期間銀行信息科技風險提示的通知》以及《銀行業(yè)金融機構信息科技風險奧運專項自查要點》要求�����,做好業(yè)務服務連續(xù)性工作,加強系統運行安全管理�����,強化ATM機等自助設備安全防范工作�。要特別重社完善應急管理機制,從電力�����、設備���、人力等各方面做好充分準備�,制訂����、修訂突發(fā)事件應急處預案并加以演練或試行壓力測試,妥善處可能發(fā)生的各種突發(fā)事件����,確保農村信用社機構信息系統可靠運行,保障各項業(yè)務正常運轉���、提高客戶服務水平��。
友情提示:本文中關于《農信社風險管理問題及建議》給出的范例僅供您參考拓展思維使用���,農信社風險管理問題及建議:該篇文章建議您自主創(chuàng)作��。
來源:網絡整理 免責聲明:本文僅限學習分享,如產生版權問題��,請聯系我們及時刪除��。
《
農信社風險管理問題及建議》由互聯網用戶整理提供,轉載分享請保留原作者信息,謝謝!
鏈接地址:http://www.hmlawpc.com/gongwen/656283.html
