随着农信社信息化的发展,信息科技的作用已从业务支持逐步走向与业务的融合,并成为农信社稳健运营和发展的支柱,然而,对于信息科技风险管控尚处于起步阶段,如何最大限度地防范信息科技风险,充分享受信息科技带来的便捷和效率,已成为当前我们必须认真研究的一个重要课题,信息科技风险防范工作亟待加强。
一、当前信息科技风险防范工作中存在的主要问题
信息科技,是指商业银行采用计算机、通信、微电子和软件工程等现代信息技术,在业务交易处理、经营管理和内部控制等方面的应用,并包括专项治理、建立完整的管理组织架构、制定完善的管理策略和制度。信息科技风险,是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。由于近年来农村信用社各项业务快速发展,信息化水平的不断提高,新设备、新技术、新程序的大量应用,信息科技风险防范工作亦面临着新的形势、新的情况和新的问题,呈现出多元发展的趋势 其风险范畴也从单一的技术领域延伸至投资、经营、管理的各个层面。
(一)对信息科技风险认识不到位
一是思想认识不到位。目前,基层农信联社管理层普遍存在着重视信息科技建设、轻信息科技管理,重信息科技建设的档次提升、轻信息科技风险防范,重眼前业务发展、轻长期信息科技发规划等问题,缺乏对信息科技的关注和统筹安排,对信息科技的风险了解不多,信息科技工作的实际地位在基层信用社是“说起来重要、做起来急着要,排起队来次要,出了问题什么都不要”,信息科技风险管理相对薄弱。
二是科技力量相对薄弱。信息科技管理部门人员配备不足,科技人员数量与辖内网点数量严重不匹配,由此造成系统开发、技术支持、系统操作维护和系统安全岗位交叉,往往身兼数岗,关键岗位A、B角制度难以落实;技术支持岗位未能实现岗位定期轮换,缺乏专门的技术风险管理部门或岗位进行有效的监督约束,不能有效识别并量化可能存在的信息科技风险因素。
三是科技人员知识水平不高。大部分机构普遍存在缺乏专业高素质人员,而且随着信息化知识的更新步伐,科技队伍工作人员的学习培训跟不上知识更新步伐,参加信息科技风险培训较少,缺少完整、系统的信息科技风险的概念和相关知识,对自身运营的业务系统、机房管理等实体系统认识较深,对信息科技项目开发和变更管理情况、业务持续性计划等认识较为肤浅,部分人员甚至在信息科技风险就是保证业务系统正常运转的错误观念,极易忽视了自身各级系统的漏洞和隐患排查、除险,在认知上存在着对风险防范的盲区和误区。
四是一线操作人员风险意识淡薄。信息科技风险需要全员参与,上至高层领导的决策,下至每位临柜人员都是风险的防范者,但目前在一线操作人员中,尚未形成人人有责的共识,广大员工对信息安全的重要性置若罔闻。
(二)信息科技风险管理制度不到位
一是管控体系不完善。虽然农村合作金融机构均成立了信息安全领导小组,但多数未真正实施起信息科技风险管理的领导决策职责,信息科技风险管控目标尚未确立,主要表现在多数农信社的理事会未制定信息科技发展的长远规划或发展策略,仅在每年股东大会或理事会季度例会上对信息科技设备的购置作简要的说明,信息科技风险防范的目标几乎没有涉及。
二是管控制度不系统。部分基层联社没有制定专门的科技风险管理制度,有制度的又大多分散于其他管理制度中,不具有系统性,且操作性也不强,缺乏具体的识别、监测和控制风险的措施。
三是制度执行不到位。很多单位不能严格执行相关计算机应用管理制度和中心机房管理规定;有的对信息系统运行保障工作重视不够,未建立健全信息系统运行巡查制度,无法及时发现机房、主机、数据库等系统运行的异常情况及故障;有的对机房运行日志未按规定进行登记,文档不完整;部分新型设备购买后未及时更新相关的管理制度,制度没有随着信息资产的升级而更新,不能起到防范风险的作用;在基层网点操作人员未按制度进行授权操作,未按流程进行业务办理,制度人为地架空。
(三)信息科技风险管控不到位
一是风险管控操作不规范。目前基层一线大部分操作人员防范科技风险意识淡薄,安全认证和访问控制防范意识差,存在朴素地感情信任,出现违规上岗、共用柜员号、一人多号、不按规定更改密码、密码设置简单、系统自录登录等问题;在授权管理上,存在交叉授权、授权未审核业务等问题,存在较大的风险隐患。而新注入的新生人员力量在大环境的影响下也未能严格按照制度执行,致使人为操作风险不能从根本上扭转。
二是风险管控职能不健全。农信社均设置了风险管理部门,但基本上仅履行管控资产、负债类业务风险的职能,并未涵盖信息科技风险。科技风险管理工作主要由科技部门负责,而科技部门是信息系统的建设者和维护者,由其承担科技风险管理职能,缺少必要的技术人员和有效手段,内部审计不能形成有效的制衡机制。
三是外部制约控制不到位。辖内所有法人机构及营业网点均未接受有关信息科技风险的外部评估,各级机构向监管部门提供的审计检查报告多是在信息科技人员自我评价的基础上形成的,这种“既当运动员又当裁判员”的评估,易给农信社带来信息科技审计制约风险。
四是科技信息衍生品风险管理不到位。随着银行卡业务的迅速扩张和竞争的日趋激烈,有关银行卡方面的投诉、纠纷、案件频发,银行卡业务风险处于多发、高发期。银行卡业务主要风险包括:通过ATM机取现、POS机套现(消费)或网络(电话)转账等形式而发生的外部欺诈风险;特约商户非法交易或违章操作引起持卡人或发卡机构资金损失的中介机构职务之便与不法分子勾结、串通作案造成的内部操作风险。这些风险不仅对客户及银行的资金安全造成威胁,对银行的声誉也造成了严重影响。
(四)系统性管理不到位
一是科技硬件基础设施薄弱。目前,农信社机房的建设不达标,个别联社的机房简陋,甚至未达到国家机房建设的最低C级标准,已建成的新机房也因前期协调、资金等问题,存在漏洞,部分联社的机房防雷、消防等设施均未配备,一旦发生机房失火或雷击等突发性事故,核心业务系统或网络中枢将遭受损害;对于网络运行环境而言,数据大集中和前置机后移,都需要极稳定的网络环境支撑,从乡镇到县中心机房,再到市、省中心,任何环节网络不畅都会导致业务的中断,农信社核心网络设备使用期限已达7年,且基层农信社也没购置备用网络设备,一旦设备损坏,极易造成业务中断;现在农信社均实行了内、外网络的物理隔离,但对移动设备的管理缺乏有效的制约手段,极易导致外网病毒通过移动设备传播和感染到内网未打补丁包的windows类操作系统,这导致内网带宽被侵占,从而影响业务系统的运行。
二是系统软件设计存在缺陷。目前,农信社使用的IT系统的核心为综合业务系统和信贷管理系统,是由省中心开发的,基本能满足业务操作的需要,但这些系统风险管控功能、报表分析功能不强。如:综合业务管理平台的事后补救措施和升级在逐步开展,系统变更与投产过于频繁,增大了开发与维护人员工作压力,也影响了前台业务质量;信贷业务管理系统在设计时未能考虑银监部门信贷风险控制的基本要求,没有设置贷款集中度风险、集团授信风险等风险提示模块,从而导致系统无法适时提示上述风险;业务流程控制缺陷较多,部分信贷业务办理不受信贷管理系统控制,信贷管理系统对贴现科目控制存在漏洞,贴现科目无需信贷管理系统授权,通过综合业务系统的会计前台即可办理该项业务,既无制约功能,也不能信息共享等问题。
三是应急预案不完善。农新社网点机构的应急预案仅停留在形式上。尽管各社制定了系统应急预案,但仍有部分社从未进行过应急演练,也没有进行过压力测试,并不能保证及时处置事故或紧急事件;部分社应急预案涵盖面过大,缺乏针对性和操作性,影响应急预案的实效。
二、加强农信社科技信息风险防控的对策和建议
农信社应按照《商业银行信息科技风险管理指引》要求,从业务需求出发,加强信息科技风险管控,从“要我做”变为“我要做”,做到事前有预防、事中有控制和事后有检查,将技术防范为主的被动信息安全工作,转变为以预防为主的主动信息科技风险管控。
(一)加强信息科技风险防范的组织领导和队伍建设
一是各级领导要站在维护社会秩序和促进农信社发展的高度,充分认识信息科技安全的紧迫性和重要性,要看到农信社的现状和未来,要看到近几年农信社信息化得迅速发展和展望未来的广大前景,要充分认识IT价值,要明确信息科技风险管理目标,要将信息科技风险纳入自身的总体风险框架,联社理事长作为信息科技风险的第一责任人,负责组织贯彻落实。
二是完善信息科技风险管理机制。要处理好业务发展与信息科技风险防范之间的关系,建立全系统自上而下的信息科技风险管理体系,实现对信息科技风险的识别、计量、监测和控制,严格落实相关责任制和事故追究责任制,积极采取措施消除信息科技风险重大隐患,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
三是建立相应的激励和约束机制,打造一支稳定、团结、高效的科技队伍。首先,要加强职业道德和法律法规教育,提高科技队伍的思想政治素质,严格要害岗位人员的审查,从思想上筑起一道防范信息科技风险的“防火墙”;其次,要实施科技人员梯队管理。要将全市科技人员按照管理人员、计算机安全管理员、计算机操作人员进行分类管理,按照市、县两级组织实施级别管理,市级以县级联社管理人员为管控重点,县级联社以计算机安全管理员为重点管理对象,计算机安全管理员重点保障基层操作人员的正常业务操作,现从上到下、从市到县、从机关到网点的逐级有序管理,使科技工作风险管控的触角延伸到每一个网点,到每一项业务的正常开展。
四是要建立相应的激励机制。要从“业务发展,科技为先”的战略高度上认识,建立科学合理的薪酬激励机制,在物质待遇上给予保证,建立科学的短期、中期、长期的岗位目标,才能起到激励作用,使从事科技特殊岗位的人员在心理上得到平衡。
(二)加强信息科技风险防范的制度建设和执行
一是整合和健全信息科技风险管理制度。按照新《指引》要求,对可能出现的管理漏洞等问题,查缺补漏,调整优化,严格评估信息安全内控体系的完整性和实施的有效性,对科技风险管理制度和操作规程进行梳理和归类,堵塞漏洞,使其具有系统性和可操作性。
二是加大科技投入,采用先进技术防范措施,保证制度的贯彻执行。要积极推广应用指纹认证系统,建立有效的管理用户认证和访问控制机制,使用户对数据和系统访问必须选择与信息访问级别相匹配的认证机制,确保密匙使用安全;要通过风险预警和客户评价系统,提高技术防范手段,加强后台监督,严格控制操作风险;要通过改善门禁系统、防雷、消防等硬件设施,发展和使用计算机加密技术、访问控制技术、“防火墙”技术、病毒防治技术和监控技术,筑起多道计算机安全防范屏障,以科技技术保障制度的落实。
三是加强员工培训学习,强化防范操作风险执行力度。要强化信息安全思想教育,强调科技风险防范人人有责,安全性和便利性要由大家形成共识的折中,每个人都要承担安全责任;要重点抓好网点一线临柜人员计算机知识的普及和定期轮训培训工作,严格落实上岗资格考试、岗位轮换和强制休假制度;要对业务操作人员按照权限、责任范围实行严格的限制,相互制约、互相监督,防止权限过于集中,避免出现管理空档;科技工作人员要以高度的责任心和使命感,脚踏实地的工作态度,立足岗位,做好本职工作,不断更新现有知识架构,积极学习新业务、新知识,全面提高自身素养,为更好地做好科技工作夯实基础。
(三)加强信息科技风险防范的审计检查和监督
一是要探索信息科技风险监测手段。积极探索信息系统风险识别、监测和控制的技术和手段,及时发现信息系统的风险,并进行整改和补救。目前,市中心在机房断电、柜员签退等方面开发了短信监控平台、柜员签退实时监控系统,在这方面做出了有益地探索。
二是加强科技信息风险现场检查,及时纠正问题和消除隐患。要着手开发信息系统的现场检查程序,建立检查制度,综合运用数据检查、情景模拟或联网检查的手段,及时查找和发现信息系统的问题和不足。
三是要加强外部审计监督。建立信息科技风险管理交流平台,对信息系统的研发、运行及退出的全过程进行审计,对可能发生的信息科技安全事故进行调查、分析和评估,及时识别、监测和防范信息科技风险。同时,与人民银行、银监部门协调沟通,加强资源集成,提高信息科技风险监管合力,定期对信息科技系统全面性、安全性、完整性和可靠性进行审计和评价,全面、深入地反映信息系统的整体状况和主要风险,查找漏洞,确定相应的整改措施。也可适时引入社会力量,委托外部IT审计部门开展信息系统的外部评价和审计,促进信息系统自身和相关管理水平的提高。
(四)加强信息科技风险防范的重点环节
一是要提高信息系统运行保障能力。要加大科技软硬件设施投入,消除单点故障隐患,要了解掌握各类业务系统、信息化建设、安全管理、消防等多方位、全方面的知识,按照标准化要求实施信息化建设,正在建设机房的县级联社要科学、合理地进行机房建设施工,机房不达标的县级联社要逐步进行设备设施更新改造,夯实信息科技风险防范的基础。
二是完善信息系统安全运行体系。设立信息科技风险管理岗位,严格执行开发、运行、维护等岗位分离及关键岗位的A、B角配备;要做好生产系统维护和保护工作,尤其是要加强前置机、路由器和交换机的检查,注重外网的安全性,严禁传输敏感数据,非敏感数据通过互联网传输,要严防黑客攻击,要做好应对网络攻击相关准备和实时监测工作;对机房、网络设备、主机设备、网络及数据访问、科技人员操作风险等方面进行全面安全评估。
三是加强业务系统风险管控。对由于IT系统的缺陷和不足,省中心正在逐步进行改进和升级,各级科技管理部门要认真配合组织实施,对于系统问题引发的问题以及错误,要总结教训并认真整改,做到人员控制、制度控制、系统控制三到位。
四是要加强沟通,做好应急处理。要进一步加强与监管部门、人民银行、电信运营商以及设备厂商等外部单位之间的沟通协调,确保信息系统事件发生时外部协作的及时有效。制定应急预案并定期组织演练,从应急响应、应急决策、应急预案等方面做好应急工作,提高应急处置能力,提高抗风险能力和突发事件应对能力。
(三门峡市农信办信息科技中心 王晓平)