农信社信息科技风险分析与防范对策一
作者:李东卫 来源:中国信合网class=news_Intro>信息科技风险是指信息科技在运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的风险,《巴塞尔新资本协议》将其作为操作风险中的重点进行防控。
目前,农村信用合作社(以下简称农信社)的信息化建设正步入高速发展的快车道,然而对于信息科技风险管控尚处于起步阶段。如何为农信社找到适合的风险管理策略,最大限度地防范信息科技风险,充分享受信息科技带来的便捷和效率,这不仅是各地农信社应该关注的重点,也是监管部门风险监管的重要内容。
农信社信息科技风险管理面临的主要问题
(一)信息科技风险管控架构尚未完全建立
一是信息科技风险管控目标未确立。主要表现在:多数农信社的理事会未制定信息科技发展的长远规划或发展策略,仅在每年的股东大会或理事会季度例会上对信息科技设备的购置作简要的说明,信息科技风险防范的目标几乎没有涉及。
二是信息科技风险管控体系不完善。虽然农村合作金融机构均成立了信息安全领导小组,但多数未真正实施起信息科技风险管理的领导决策职责。此外,科技人员数量与网点数量不匹配,一身多职、多岗等现象比较严重。
三是信息科技风险管控制度不系统。部分农村合作金融机构没有制定专门的科技风险管理制度,有制度的又大多分散于其他管理制度中,不具有系统性,且操作性也不强,缺乏具体的识别、监测和控制风险的措施。
四是信息科技风险管控操作不规范。农信社大多数职工学历偏低,年龄偏大,防范科技风险意识淡薄,经常出现非计算机人员违规上机操作、几个职工共用同一柜员号、柜员不按规定更改密码等问题,且密码设置极为简单,存在较大的风险隐患。
五是信息科技风险管控职能不健全。农信社均设置了风险管理部门,但基本上仅履行管控资产、负债类业务风险的职能,并未涵盖信息科技风险。科技风险管理工作主要由科技部门(或负责科技管理的部门)负责,而科技部门是信息系统的建设者和维护者,由其承担科技风险管理职能,不能形成有效的制衡机制。
六是信息科技风险管控人员配备不到位。农信社普遍存在科技人员不足,科技人员往往身兼数岗,重要岗位A、B角制度难以落实。
(二)系统灾备及应急预案不完善
一是农村合作金融机构的应急预案仅停留在形式上。尽管各社制定了系统应急预案,但仍有部分社从未进行过应急演练,也没有进行过压力测试,并不能保证及时处置事故或紧急事件;部分社应急预案涵盖面过大,缺乏针对性和操作性,影响应急预案的实效。
二是专项审计不到位。农村信用合作联社授权内审部门负责信息系统审计,而由于缺少必要的技术人员和有效手段,绝大部分社内审部门或其他部门未进行专门的信息科技专项审计。
三是网络基础设施简陋。一方面,部分农信社信息科技网络系统运行存在诸多安全隐患。如营业网点的配套机房供配电、服务器平台、空调系统、接地防雷和消防系统等基础设施较为简陋,也未建立业务系统运行登记制度,未对数据进行有效性检验和备份,一旦发生机房突然断电、失火或雷击等突发性事故,核心业务系统或网络中枢将遭受损害。另一方面,网络运行环境有待提高。数据大集中和前置机后移,都需要极稳定的网络环境支撑,从村、乡镇到县中心机房,再到省中心,任何环节网络不畅都会导致业务的中断。农信社核心网络设备使用期限已达4年,且多数机构没有购置备用设备,基层农信社也没购置备用网络设备,一旦设备损坏,极易造成业务中断。
四是移动设备管理有待加强。虽然各农信社均实行了内、外网络的物理隔离,但对移动设备的管理缺乏有效的制约手段,极易导致外网病毒通过移动设备传播和感染到内网未打补丁包的windows类操作系统,这导致内网带宽被侵占,从而影响业务系统的运行。
(三)信息系统建设实行外包存在较大的潜在风险
一是农村合作金融机构由于人力资源紧张,开发能力不足,将全部的核心业务系统开发、网络及防火墙的安全策略配置委托给外包公司,且对外包公司缺乏有效的管理,这造成大量系统核心源代码、关键配置信息为外部人员所掌握,科技信息系统安全缺乏保障。农信社在委托IT企业研发业务系统时,应从安全角度对IT公司提出了一系列约束条款,但因IT企业人员流动频繁,IT企业对开发人员的管理与约束效果如何,这是农信社难以防控的,这无疑加大了系统运行的风险及后期维护的难度。
二是公用平台软件引进缺乏源代码,使得农信社不能根据本身需要进行优化,会对系统存在的漏洞不能及时有效地维护,只能被动地接受补丁程序。
三是由于相关监管法律法规不健全,导致有关金融信息安全的监管要求缺乏操作性,如对农信社何种业务可以外包,何种业务不可外包,何种业务经过批准可以外包等都缺乏清晰、明确的规定。
四是农信社对项目开发的质量缺乏有效控制,这造成对软件开发项目管理不够严格,软件质量也难以得到保证,投产的系统可能存在缺陷。
页:
[1]