论文部分内容阅读
近期,湖北荆州银监分局组织专人,以巡查方式对推进农村电话银行“全覆盖”过程中,县级以下基层涉农银行机构(法人及分支机构)信息科技风险状况进行了全面调查。从调查情况看,基层银行机构存在较大信息科技风险隐患,必须引起高度重视。
1.信息科技管理模式现状
一是分支机构管理模式。主要为国有银行、股份制银行的分支机构及各级农合机构。其信息系统的开发、维护和管理均由上级行统一负责,市、县各级科技部门主要负责本行信息系统安全、运维和设备管理。其中市级分支机构通过成立科技管理部或网络信息中心负责科技管理工作;市级中心机房仅承担网络通道、应用前端和节点接入功能,负责数据发送接收。县级分支机构科技管理通常由财会、办公室等部门人员兼任,由上级行科技部门对其进行技术指导。
二是中小法人管理模式。主要为村镇银行和贷款公司等新型农村金融机构。其信息化建设均外包给发起行,由其统一进行建设;重要信息系统托管于发起行,或由发起行托管于第三方机构;科技管理工作通常由财会、办公室等部门人员兼任,由发起行科技部门对其进行技术指导。
2.存在的主要问题及原因
基层涉农银行机构在信息科技管理中,均不同程度存在人力、物力缺乏,制度、规范缺位,贯彻执行乏力的情况;对信息科技风险的认识停留在表面阶段,对于实质存在哪些风险、如何有效降低风险知之甚少。综合分析,主要是以下五个方面存在突出问题:
2.1科技岗位缺失导致保障能力不强
辖内基层涉农银行机构科技人员整体布局不足,与银监会要求的“十二五”末达到3%的目标相距甚远。基层机构普遍在人事制度安排上,没有专业部门负责科技管理,一般由财务会计、办公室、综合部门兼管科技,有的虽成立了信息科技部门,但科技工作职责上没有严格独立。高管层中也没有专职领导来分管科技,普遍缺乏对信息科技风险管理内涵的认知,缺乏整体科技战略,没有将信息科技风险管理当作日常性工作安排,少有银行机构召开专题会议研究部署信息科技管理工作。调查发现,城区科技人员和工作人员的比例约在1%;县域的比例约在0.4%,即县级机构普遍只有1-2名兼职人员负责辖内县、乡、村网点的科技管理和技术保障,再加上与业务部门职能交叉,辖内到科技人员占比低,力量薄弱。现场走访调查发现,辖内基层涉农机构大量信息科技人员对信息技术的掌握有限,对系统运行中出现的问题和故障缺乏基本的判断能力,对重要信息系统难以形成有效保障。
2.2管理水平低下,制约信息科技发展
信息科技管理不仅对人员技术水平有特殊的要求,管理方法和经验也尤为重要,目前辖内基层涉农银行机构信息科技整体管理简单、粗糙,管理水平明显不足,基本沿用了上级行的规章制度,这些制度并不适合组织架构较为简化,人员岗位存在严重不足的基层涉农机构,导致制度与实际脱节、决策流程不畅、办事效率底下,相关工作要求难以有效落实到工作中去,对业务流程管理也缺乏约束。
2.3运维管理管理存在风险隐患
一是运维管理不规范。辖内多数基层涉农银行机构未落实机房专人值班,仅有少数机构能够落实双人值班。另外,辖内多数机构未设置信息安全员岗位,在对柜面人员、科技运维人员和中心机房的安全管理方面,缺乏明确的安全管理制度,部分机构仅凭经验与员工进行安全管理方面的约定。二是运维流程不清晰。辖内基层涉农银行机构在运维流程方面比较混乱,网络出现故障乱作一团,没有章法可循。三是是运维手段未建立。目前大部分机构运维仍然完全依靠工作人员,银行普遍使用的安全监控、网络监控、系统和设备监控等技术手段在基层涉农银行机构还是空白,导致出现故障时完全依靠经验判断,处置风险的精确度和效率大大降低。
2.4电子渠道信息安全隐患突出
近年,辖内基层涉农银行机构连续发生3起ATM安全事件,对客户及银行的资金安全造成威胁。随着基层涉农银行机构的银行卡和电子银行业务快速发展,基层涉农银行机构科技力量薄弱问题凸显,难以有效管控信息科技风险。归结起来主要问题有三:一是基层涉农银行机构离行式金融机具管理手段落后,无远程管理能力,普遍存在夜间管理困难、缺乏自动报警手段等问题。二是地域广科技人员少,重要信息系统日常检查、定期巡查周期过长。三是由于宣传不到位,县域客户自我保护意识相对薄弱,个人信息、银行卡的密码等重要信息容易泄漏。
2.5基础设施落后,业务连续性缺乏保障
因为科技投入不足,基层涉农银行机构的科技基础设施建设建设风险较大,普遍存在因基础设施故障导致业务中断、安全防范设施不足导致信息被盗的风险较为突出。一是机房建设标准较低。部分涉农机构机房布局、面积、防静电、防火低于国家机房建设标准;缺乏精密空调,硬件设备正常运行的环境无法保障;缺乏视频监控系统,信息科技突发事件难以实时响应;少数机构还有与其它单位共用机房,双方科技人员共同参与管理维护情况。二是电力保障未达到监管要求。多数涉农机构地处供山区,供电保障条件较差,未实行双路市电、UPS+发电机等供电保障机制,与所处环境供电情况存在一定差距。三是重要网络通信设备缺少冗余备份。尽管网络接入基本采用了专线,主要网络设备也有冗余备份,但出于成本考虑,通讯线路大部分是单线运行,因通讯故障和通讯运营商服务质量导致业务中断的故障时有发生。
3.监管建议
3.1立足市场准入,科技监管地位要明确
监管部门应将县级以下机构信息科技风险纳入监管视野,关注涉农银行机构的信息系统安全稳定问题,通过制订相关政策法规,将信息科技監管纳入市场准入工作,将科技风险关口前移,严控信息科技风险。一是明确县级以下分支机构科技准入标准,包括科技人员覆盖率、年度投入等,确保信息科技人力物力投入力度;二是制定新型农村金融机构科技建设准入门槛,确保小法人机构的基础设施能保障业务连续性发展;三是加大县域机构信息科技风险巡查力度,确保农村金融服务质量不断提升。
3.2立足制度建设,科技治理架构要规范
县级以下分支机构应将信息科技风险纳入风险管理总体框架,并重点从制度建设、基建保障、业务连续性管理等方面予以改进和完善。一是整章建制。要认真贯彻落实银监会《商业银行信息科技风险防范管理指引》,逐步制定符合实际情况的科技制度,形成完整、实用的规章制度体系,从制度上提高科技风险管理能力;二是狠抓基建。有计划的提升基础设施建设水平,建立对供电、通讯和主要设备冗余备份机制,不断加强容灾能力,以满足未来业务发展的需要;三是连续性管理。加强环境监控措施,适时开展应急演练和测评,确保在发生重大突发信息科技突发事件时,能够迅速做出反应并从容应对。
3.3立足多维监管,多方合作要加强
信息科技风险管理是银行全面风险管理体系的重要组成部分,科技风险管理工作要调用全行资源,多方合作,形成合力,共同防范。一是加强监管联动。要建立上下条线、横向跨区的多维立体式监管模式,有效借助外围的风险苗头防范辖内风险;上级主管行或发起行要加强对基层行在信息科技风险防范方面的业务指导和培训,及时解决对基层行反映的风险防范中的困难;二是加强与媒体合作。基层涉农银行机构通过电子渠道发展的新品种、新服务要借助媒体进行安全操作的宣传,增强客户的风险防范意识;三是加强与公安部门合作。为减少电子机具的发案率,要积极配合公安部门,加强对自助银行和自助服务区的巡查力度,及时发现风险隐患。
1.信息科技管理模式现状
一是分支机构管理模式。主要为国有银行、股份制银行的分支机构及各级农合机构。其信息系统的开发、维护和管理均由上级行统一负责,市、县各级科技部门主要负责本行信息系统安全、运维和设备管理。其中市级分支机构通过成立科技管理部或网络信息中心负责科技管理工作;市级中心机房仅承担网络通道、应用前端和节点接入功能,负责数据发送接收。县级分支机构科技管理通常由财会、办公室等部门人员兼任,由上级行科技部门对其进行技术指导。
二是中小法人管理模式。主要为村镇银行和贷款公司等新型农村金融机构。其信息化建设均外包给发起行,由其统一进行建设;重要信息系统托管于发起行,或由发起行托管于第三方机构;科技管理工作通常由财会、办公室等部门人员兼任,由发起行科技部门对其进行技术指导。
2.存在的主要问题及原因
基层涉农银行机构在信息科技管理中,均不同程度存在人力、物力缺乏,制度、规范缺位,贯彻执行乏力的情况;对信息科技风险的认识停留在表面阶段,对于实质存在哪些风险、如何有效降低风险知之甚少。综合分析,主要是以下五个方面存在突出问题:
2.1科技岗位缺失导致保障能力不强
辖内基层涉农银行机构科技人员整体布局不足,与银监会要求的“十二五”末达到3%的目标相距甚远。基层机构普遍在人事制度安排上,没有专业部门负责科技管理,一般由财务会计、办公室、综合部门兼管科技,有的虽成立了信息科技部门,但科技工作职责上没有严格独立。高管层中也没有专职领导来分管科技,普遍缺乏对信息科技风险管理内涵的认知,缺乏整体科技战略,没有将信息科技风险管理当作日常性工作安排,少有银行机构召开专题会议研究部署信息科技管理工作。调查发现,城区科技人员和工作人员的比例约在1%;县域的比例约在0.4%,即县级机构普遍只有1-2名兼职人员负责辖内县、乡、村网点的科技管理和技术保障,再加上与业务部门职能交叉,辖内到科技人员占比低,力量薄弱。现场走访调查发现,辖内基层涉农机构大量信息科技人员对信息技术的掌握有限,对系统运行中出现的问题和故障缺乏基本的判断能力,对重要信息系统难以形成有效保障。
2.2管理水平低下,制约信息科技发展
信息科技管理不仅对人员技术水平有特殊的要求,管理方法和经验也尤为重要,目前辖内基层涉农银行机构信息科技整体管理简单、粗糙,管理水平明显不足,基本沿用了上级行的规章制度,这些制度并不适合组织架构较为简化,人员岗位存在严重不足的基层涉农机构,导致制度与实际脱节、决策流程不畅、办事效率底下,相关工作要求难以有效落实到工作中去,对业务流程管理也缺乏约束。
2.3运维管理管理存在风险隐患
一是运维管理不规范。辖内多数基层涉农银行机构未落实机房专人值班,仅有少数机构能够落实双人值班。另外,辖内多数机构未设置信息安全员岗位,在对柜面人员、科技运维人员和中心机房的安全管理方面,缺乏明确的安全管理制度,部分机构仅凭经验与员工进行安全管理方面的约定。二是运维流程不清晰。辖内基层涉农银行机构在运维流程方面比较混乱,网络出现故障乱作一团,没有章法可循。三是是运维手段未建立。目前大部分机构运维仍然完全依靠工作人员,银行普遍使用的安全监控、网络监控、系统和设备监控等技术手段在基层涉农银行机构还是空白,导致出现故障时完全依靠经验判断,处置风险的精确度和效率大大降低。
2.4电子渠道信息安全隐患突出
近年,辖内基层涉农银行机构连续发生3起ATM安全事件,对客户及银行的资金安全造成威胁。随着基层涉农银行机构的银行卡和电子银行业务快速发展,基层涉农银行机构科技力量薄弱问题凸显,难以有效管控信息科技风险。归结起来主要问题有三:一是基层涉农银行机构离行式金融机具管理手段落后,无远程管理能力,普遍存在夜间管理困难、缺乏自动报警手段等问题。二是地域广科技人员少,重要信息系统日常检查、定期巡查周期过长。三是由于宣传不到位,县域客户自我保护意识相对薄弱,个人信息、银行卡的密码等重要信息容易泄漏。
2.5基础设施落后,业务连续性缺乏保障
因为科技投入不足,基层涉农银行机构的科技基础设施建设建设风险较大,普遍存在因基础设施故障导致业务中断、安全防范设施不足导致信息被盗的风险较为突出。一是机房建设标准较低。部分涉农机构机房布局、面积、防静电、防火低于国家机房建设标准;缺乏精密空调,硬件设备正常运行的环境无法保障;缺乏视频监控系统,信息科技突发事件难以实时响应;少数机构还有与其它单位共用机房,双方科技人员共同参与管理维护情况。二是电力保障未达到监管要求。多数涉农机构地处供山区,供电保障条件较差,未实行双路市电、UPS+发电机等供电保障机制,与所处环境供电情况存在一定差距。三是重要网络通信设备缺少冗余备份。尽管网络接入基本采用了专线,主要网络设备也有冗余备份,但出于成本考虑,通讯线路大部分是单线运行,因通讯故障和通讯运营商服务质量导致业务中断的故障时有发生。
3.监管建议
3.1立足市场准入,科技监管地位要明确
监管部门应将县级以下机构信息科技风险纳入监管视野,关注涉农银行机构的信息系统安全稳定问题,通过制订相关政策法规,将信息科技監管纳入市场准入工作,将科技风险关口前移,严控信息科技风险。一是明确县级以下分支机构科技准入标准,包括科技人员覆盖率、年度投入等,确保信息科技人力物力投入力度;二是制定新型农村金融机构科技建设准入门槛,确保小法人机构的基础设施能保障业务连续性发展;三是加大县域机构信息科技风险巡查力度,确保农村金融服务质量不断提升。
3.2立足制度建设,科技治理架构要规范
县级以下分支机构应将信息科技风险纳入风险管理总体框架,并重点从制度建设、基建保障、业务连续性管理等方面予以改进和完善。一是整章建制。要认真贯彻落实银监会《商业银行信息科技风险防范管理指引》,逐步制定符合实际情况的科技制度,形成完整、实用的规章制度体系,从制度上提高科技风险管理能力;二是狠抓基建。有计划的提升基础设施建设水平,建立对供电、通讯和主要设备冗余备份机制,不断加强容灾能力,以满足未来业务发展的需要;三是连续性管理。加强环境监控措施,适时开展应急演练和测评,确保在发生重大突发信息科技突发事件时,能够迅速做出反应并从容应对。
3.3立足多维监管,多方合作要加强
信息科技风险管理是银行全面风险管理体系的重要组成部分,科技风险管理工作要调用全行资源,多方合作,形成合力,共同防范。一是加强监管联动。要建立上下条线、横向跨区的多维立体式监管模式,有效借助外围的风险苗头防范辖内风险;上级主管行或发起行要加强对基层行在信息科技风险防范方面的业务指导和培训,及时解决对基层行反映的风险防范中的困难;二是加强与媒体合作。基层涉农银行机构通过电子渠道发展的新品种、新服务要借助媒体进行安全操作的宣传,增强客户的风险防范意识;三是加强与公安部门合作。为减少电子机具的发案率,要积极配合公安部门,加强对自助银行和自助服务区的巡查力度,及时发现风险隐患。