1、隨著信息科學(xué)技術(shù)的快速發(fā)展和銀行電子化水平的高速推進(jìn)，信息科技已成為農(nóng)村合作金融機(jī)構(gòu)業(yè)務(wù)開展和經(jīng)營(yíng)管理的基礎(chǔ)平臺(tái)。相對(duì)于國(guó)有大型銀行而言，農(nóng)村合作金融機(jī)構(gòu)信息科技管理尚處于初級(jí)階段，與銀監(jiān)會(huì)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引的要求存在較大的差距，信息科技風(fēng)險(xiǎn)已經(jīng)成為農(nóng)村合作金融機(jī)構(gòu)穩(wěn)健運(yùn)行的又一重要隱患。四大缺陷缺陷一：風(fēng)險(xiǎn)管理架構(gòu)尚不完善。一是管理層參與信息科技管理不到位。目前，基層農(nóng)村信用社（以下簡(jiǎn)稱農(nóng)信社）管理層還沒(méi)有適應(yīng)信息科技快速發(fā)展的形勢(shì)，未把信息科技風(fēng)險(xiǎn)管理納入到全局性的風(fēng)險(xiǎn)管理范疇。其對(duì)信息科技管理僅僅限于在股東大會(huì)或理事會(huì)上對(duì)信息科技預(yù)算審批、重要系統(tǒng)開發(fā)、硬件設(shè)備購(gòu)置等工作安排上

2、，對(duì)信息科技風(fēng)險(xiǎn)管理戰(zhàn)略規(guī)劃、IT管理制度、機(jī)構(gòu)設(shè)置、人員培訓(xùn)等方面的內(nèi)容管理不夠。同時(shí)，信息科技風(fēng)險(xiǎn)管理成為科技部門內(nèi)設(shè)職能，缺乏業(yè)務(wù)發(fā)展、風(fēng)險(xiǎn)管理、內(nèi)部審計(jì)等部門的有效支持和協(xié)調(diào)配合，更未形成從管理層到基層員工自上而下的相互協(xié)調(diào)統(tǒng)一的風(fēng)險(xiǎn)管理體系。二是制度建設(shè)不健全、執(zhí)行不到位。部分農(nóng)信社制訂的信息科技制度分散于其他管理制度中，不具系統(tǒng)性，且操作性也不強(qiáng)，沒(méi)有形成一整套完善有效的信息科技風(fēng)險(xiǎn)管理制度。特別是部分制度制訂得較早，已經(jīng)不能適應(yīng)新業(yè)務(wù)發(fā)展的需要，又沒(méi)有進(jìn)行及時(shí)的更新，使得制度僅僅停留在表面，沒(méi)有實(shí)際意義。其次，部分銀行機(jī)構(gòu)雖然制度制訂比較完善，可操作性也很強(qiáng)，但落實(shí)不到位，制度的

3、約束性也就形同虛設(shè)。如制訂的信息系統(tǒng)應(yīng)急預(yù)案要求定期進(jìn)行應(yīng)急演練，但實(shí)際上僅僅停留在書面，演練走過(guò)場(chǎng)或從來(lái)沒(méi)有進(jìn)行過(guò)應(yīng)急演練。三是風(fēng)險(xiǎn)管理職能不健全。信息科技、風(fēng)險(xiǎn)管理及稽核部門沒(méi)有切實(shí)承擔(dān)前臺(tái)、中臺(tái)及后臺(tái)的風(fēng)險(xiǎn)管理職能，更未設(shè)置內(nèi)部風(fēng)險(xiǎn)管理崗位，不能定期分析、評(píng)估信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)。信息科技部門內(nèi)部人員配備不足，各業(yè)務(wù)條線或不相容崗位人員職責(zé)未分離，如開發(fā)組和維護(hù)、運(yùn)行組人員出現(xiàn)交叉，部分聯(lián)社甚至出現(xiàn)了主機(jī)系統(tǒng)管理員和數(shù)據(jù)庫(kù)系統(tǒng)管理員未完全分離的現(xiàn)象，極易出現(xiàn)系統(tǒng)軟件維護(hù)風(fēng)險(xiǎn)。四是信息科技人員配備不到位。農(nóng)信社點(diǎn)多面廣的優(yōu)勢(shì)成為信息科技人員配備的“軟肋”，目前，除省聯(lián)社各地市辦事處

4、人員相對(duì)充實(shí)，進(jìn)行了崗位細(xì)化分工外，基層聯(lián)社科技部門人員平均只有2-3人。他們除進(jìn)行日常綜合業(yè)務(wù)系統(tǒng)維護(hù)外，還要兼顧ATM、POS等金融機(jī)具的維護(hù)、培訓(xùn)輔導(dǎo)工作，甚至連銀行卡的營(yíng)銷、考核等工作也由其承擔(dān)?？萍既藛T往往身兼數(shù)崗，關(guān)鍵崗位輪崗、強(qiáng)制休假等制度難以落實(shí)，不能適應(yīng)當(dāng)前農(nóng)信社業(yè)務(wù)拓展與IT水平同步發(fā)展的需要。缺陷二：信息系統(tǒng)軟硬件安全存在隱患。一是機(jī)房管理有待加強(qiáng)。主要表現(xiàn)在以下幾個(gè)方面：部分聯(lián)社機(jī)房達(dá)不到防火、防雷和供電等方面的要求；機(jī)房監(jiān)控存在盲區(qū)，機(jī)房空調(diào)室、配電室、UPS間、電池間未設(shè)置視頻監(jiān)控探頭；機(jī)房分區(qū)不合理，存在設(shè)備未授權(quán)訪問(wèn)的風(fēng)險(xiǎn)；不設(shè)置門禁系統(tǒng)，對(duì)出入人員監(jiān)控缺失；機(jī)

5、房監(jiān)控主機(jī)不能自動(dòng)鎖屏，錄像系統(tǒng)的操作用戶可訪問(wèn)錄像文件；主、備通訊線路均使用一家通訊公司線路等。特別是部分聯(lián)社服務(wù)器、路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備老化而無(wú)備用設(shè)備，隨著設(shè)備運(yùn)轉(zhuǎn)期限越長(zhǎng)，性能會(huì)越不穩(wěn)定，數(shù)據(jù)損壞可能性越大。二是主要業(yè)務(wù)系統(tǒng)設(shè)計(jì)不完善。目前，核心業(yè)務(wù)系統(tǒng)主要由省級(jí)聯(lián)社開發(fā)，基本滿足業(yè)務(wù)需求，但是核心業(yè)務(wù)系統(tǒng)未能對(duì)風(fēng)險(xiǎn)管理類、中間業(yè)務(wù)類及后續(xù)的新業(yè)務(wù)開展進(jìn)行統(tǒng)籌考慮。核心系統(tǒng)建立后，又不斷開發(fā)了與核心業(yè)務(wù)系統(tǒng)訪問(wèn)相關(guān)聯(lián)的子系統(tǒng)，系統(tǒng)與系統(tǒng)之間沒(méi)有實(shí)現(xiàn)完全的數(shù)據(jù)共享，留下的BUG較多，靠員工手工錄入或不斷的“打補(bǔ)丁”補(bǔ)救，對(duì)基層聯(lián)社的業(yè)務(wù)影響較大。此外，部分綜合業(yè)務(wù)系統(tǒng)流程控制漏洞較多

6、，如對(duì)部分業(yè)務(wù)無(wú)分級(jí)授權(quán)控制，對(duì)某些特殊業(yè)務(wù)又存在普通柜員授權(quán)或直接人工轉(zhuǎn)出不需要授權(quán)等漏洞，存在非常大的操作風(fēng)險(xiǎn)。三是網(wǎng)絡(luò)運(yùn)行安全有待提高。如網(wǎng)絡(luò)VLAN劃分不嚴(yán)密，網(wǎng)絡(luò)設(shè)備和主控室操作臺(tái)專用機(jī)放置在一個(gè)VLAN中，也未對(duì)主控室操作臺(tái)專用機(jī)訪問(wèn)范圍進(jìn)行控制，甚至生產(chǎn)業(yè)務(wù)主機(jī)、開發(fā)和測(cè)試用機(jī)、辦公用機(jī)未完全放置在各自單獨(dú)的VLAN中，不能保證防范本地網(wǎng)絡(luò)用戶對(duì)各業(yè)務(wù)主機(jī)的越權(quán)訪問(wèn)及病毒侵襲。特別是數(shù)據(jù)大集中后，基層農(nóng)信社、縣聯(lián)社到省聯(lián)社科技中心的網(wǎng)絡(luò)穩(wěn)定性和通暢性極為重要，一旦一個(gè)網(wǎng)點(diǎn)出現(xiàn)問(wèn)題，全省批量工作都會(huì)受到影響。四是操作系統(tǒng)及應(yīng)用系統(tǒng)安全亟待加強(qiáng)。如密碼沒(méi)有實(shí)現(xiàn)定期更新；系統(tǒng)不升級(jí)或進(jìn)

7、行補(bǔ)丁安裝；roots用戶管理員密碼不分段管理或定期更新；通過(guò)telnet方式登錄核心業(yè)務(wù)主機(jī)，且未進(jìn)行IP地址限制等，這些隱患極易造成風(fēng)險(xiǎn)。特別是基層農(nóng)信社雖然進(jìn)行了內(nèi)外網(wǎng)分離，但不進(jìn)行技術(shù)處理，無(wú)法防范移動(dòng)存儲(chǔ)介質(zhì)因木馬病毒入侵、安全措施不夠?qū)е碌男畔⑿孤?。缺陷三：系統(tǒng)研發(fā)風(fēng)險(xiǎn)控制不足。一是系統(tǒng)開發(fā)測(cè)試不足。農(nóng)信社在系統(tǒng)開發(fā)中雖進(jìn)行了壓力測(cè)試，但測(cè)試不充分，未能及時(shí)發(fā)現(xiàn)并修正系統(tǒng)存在的問(wèn)題，難以保證測(cè)試的完整性和準(zhǔn)確性，不能有效降低系統(tǒng)錯(cuò)誤的累積放大效應(yīng)。二是未建立開發(fā)項(xiàng)目評(píng)估評(píng)價(jià)機(jī)制。部分基層機(jī)構(gòu)不根據(jù)本機(jī)構(gòu)業(yè)務(wù)發(fā)展戰(zhàn)略，在充分進(jìn)行市場(chǎng)調(diào)查、產(chǎn)品效益分析的基礎(chǔ)上制定信息系統(tǒng)研發(fā)項(xiàng)目可行性

8、報(bào)告，出現(xiàn)了“想開發(fā)就開發(fā)”的錯(cuò)誤思想傾向。對(duì)自行開發(fā)的信息系統(tǒng)未建立項(xiàng)目后評(píng)價(jià)制度，不能從信息系統(tǒng)運(yùn)行和系統(tǒng)運(yùn)行管理兩個(gè)方面來(lái)綜合評(píng)價(jià)系統(tǒng)的缺陷和不足，并提出相關(guān)改進(jìn)建議。缺陷四：信息科技系統(tǒng)風(fēng)險(xiǎn)管控措施匱乏。一是應(yīng)對(duì)管理不到位。根據(jù)銀監(jiān)會(huì)的要求，各基層機(jī)構(gòu)基本都制定了突發(fā)事件應(yīng)急預(yù)案，但應(yīng)急預(yù)案普遍不完善，應(yīng)急事件發(fā)生時(shí)，不能保證應(yīng)急預(yù)案的效力。二是內(nèi)部審計(jì)不到位。目前，基層機(jī)構(gòu)的內(nèi)部審計(jì)次數(shù)頻繁，幾乎涵蓋了各項(xiàng)業(yè)務(wù)的方方面面，但因缺少必要的審計(jì)人員與審計(jì)手段，對(duì)信息科技風(fēng)險(xiǎn)審計(jì)基本不涉及，外部審計(jì)更無(wú)從談起。五點(diǎn)建議農(nóng)村合作金融機(jī)構(gòu)應(yīng)堅(jiān)持“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的原則，建立健全信息

9、科技風(fēng)險(xiǎn)管理架構(gòu)，明確管理責(zé)任制，有步驟、分層次地推進(jìn)工作，不斷提高信息科技風(fēng)險(xiǎn)管理水平，有效防范信息科技風(fēng)險(xiǎn)。建議一：完善風(fēng)險(xiǎn)管理架構(gòu)和人力資源優(yōu)化機(jī)制。一是完善風(fēng)險(xiǎn)管理架構(gòu)。農(nóng)村合作金融機(jī)構(gòu)要將信息科技風(fēng)險(xiǎn)納入自身的總體風(fēng)險(xiǎn)框架，理事會(huì)及其風(fēng)險(xiǎn)管理委員會(huì)應(yīng)切實(shí)承擔(dān)起對(duì)信息科技風(fēng)險(xiǎn)管理戰(zhàn)略規(guī)劃、IT管理制度、培訓(xùn)等內(nèi)容的管理責(zé)任。通過(guò)各種方式，加強(qiáng)信息科技風(fēng)險(xiǎn)管理的政策傳導(dǎo)，增強(qiáng)員工對(duì)信息科技風(fēng)險(xiǎn)監(jiān)管工作重要性的認(rèn)識(shí)，營(yíng)造信息科技風(fēng)險(xiǎn)“人人有責(zé)”的良好氛圍。二是補(bǔ)充完善風(fēng)險(xiǎn)管理制度。根據(jù)銀監(jiān)會(huì)下發(fā)的相關(guān)文件，按照信息科技風(fēng)險(xiǎn)的諸方面建立相關(guān)規(guī)章制度并進(jìn)行合規(guī)、風(fēng)險(xiǎn)、稽核審核，做到各項(xiàng)工作有章

10、可依，從制度層面上對(duì)信息技術(shù)風(fēng)險(xiǎn)實(shí)施有效防范。三是完成三道防線的部門及崗位設(shè)置，對(duì)科技操作和科技風(fēng)險(xiǎn)管理崗位進(jìn)行分設(shè)，合理授權(quán)，形成有效的監(jiān)督制約機(jī)制。四是通過(guò)內(nèi)部培養(yǎng)、外部引進(jìn)等手段完成對(duì)信息科技人力資源的有效配置，保證信息科技不相容崗位的職責(zé)分離，應(yīng)大力引進(jìn)既懂銀行業(yè)務(wù)又熟悉信息科技工作的復(fù)合型人才，提高信息科技風(fēng)險(xiǎn)管理的專業(yè)化水平。建議二：建立信息科技風(fēng)險(xiǎn)的專業(yè)化管理機(jī)制。一是加強(qiáng)機(jī)房管理，建立完善對(duì)各種硬件及網(wǎng)絡(luò)設(shè)備的定期檢查維護(hù)制度，安裝機(jī)房監(jiān)控系統(tǒng)、環(huán)境檢測(cè)系統(tǒng)等自動(dòng)化監(jiān)控工具，實(shí)現(xiàn)與人工并行的系統(tǒng)檢測(cè)機(jī)制；機(jī)房實(shí)行門禁管理并進(jìn)行記錄保存。二是應(yīng)對(duì)照銀監(jiān)會(huì)及上級(jí)管理的相關(guān)文件，積極

11、探索信息系統(tǒng)風(fēng)險(xiǎn)識(shí)別、監(jiān)測(cè)和控制的技術(shù)手段，及時(shí)發(fā)現(xiàn)信息系統(tǒng)、軟硬件安全、系統(tǒng)研發(fā)等方面存在的在漏洞及缺陷，應(yīng)充分估量、監(jiān)測(cè)，并及時(shí)進(jìn)行整改和補(bǔ)救，必要時(shí)聘請(qǐng)外部信息科技人員進(jìn)行審計(jì)，及時(shí)發(fā)現(xiàn)問(wèn)題，避免可能出現(xiàn)的風(fēng)險(xiǎn)。建議三：健全系統(tǒng)研發(fā)的評(píng)估評(píng)價(jià)機(jī)制。一是認(rèn)真開展系統(tǒng)開發(fā)前的調(diào)研工作，做好軟件需求設(shè)計(jì)，以滿足業(yè)務(wù)發(fā)展和創(chuàng)新的需要。二是對(duì)系統(tǒng)進(jìn)行全面測(cè)試，及時(shí)修正軟件設(shè)計(jì)的缺陷和漏洞，保證軟件設(shè)計(jì)符合法規(guī)和內(nèi)控制度的要求，能夠覆蓋有關(guān)風(fēng)險(xiǎn)。應(yīng)組織有關(guān)人員開展評(píng)價(jià)，全面征求各方面的意見(jiàn)，并采取有效措施進(jìn)行改進(jìn)和優(yōu)化。在系統(tǒng)變更管理上，對(duì)于所有涉及生產(chǎn)環(huán)境的變更，變更前應(yīng)及時(shí)制定回退和應(yīng)急方案，保證在意外情況發(fā)生時(shí)能夠盡早補(bǔ)救。建議四：積極開展信息科技風(fēng)險(xiǎn)應(yīng)急管理工作?；鶎愚r(nóng)村合作金融機(jī)構(gòu)應(yīng)針對(duì)本單位信息科技風(fēng)險(xiǎn)狀況，不斷完善各類應(yīng)急預(yù)案。應(yīng)加強(qiáng)對(duì)信息科技風(fēng)險(xiǎn)應(yīng)急管理的組織領(lǐng)導(dǎo)，成立信息科技風(fēng)險(xiǎn)應(yīng)急管理領(lǐng)導(dǎo)小組，定期不定期開展信息科技人員應(yīng)急管理培訓(xùn)，及時(shí)組織信息科技應(yīng)急預(yù)案演練，通過(guò)對(duì)應(yīng)急預(yù)案的演練，不斷修改完善應(yīng)急預(yù)案內(nèi)容，提高對(duì)各類突發(fā)事件的處置能力。特別做好災(zāi)備系統(tǒng)的建設(shè)