当前农村信用社信息科技风险管理的分析与思考

当前农村信用社信息科技风险管理的分析与思考

山东省农村信用社日照办事处

韩淑芳

［摘要］近几年，金融部门高度重视信息科技风险管理，本文通过分析当前农村信用社信息科技风险管理存在的问题及困难，提出改进建议及措施。

近年来，山东省农村信用社高度重视信息科技工作，围绕提高信息科技水平，积极推进科技创新，推动了全省农村信用社的改革与发展。信息科技已经成为全省农村信用社实现经营战略和业务运营的基础平台以及金融创新的重要手段。业务发展对信息科技的高度依赖，使得信息技术系统的安全性、可靠性和有效性直接关系到全省农村信用社的

稳健运营和发展。

我们在关注如何加快信息化建设，保障信息系统平台高效、安全运行的同时，也应注意到当下信息科技风险防控更多的是头痛医头、脚痛医脚，把信息科技只当作一个拐棍或支持服务的工具，科技风险防范的防线不够完备，就技术论技术，信息科技不能与业务很好融合，信息科技风险管理面临很大的压力，也间接影响了科技管理工作与业务发展的快速推动。

一、存在问题及困难（一）管理层面对信息科技风险的重视不够。俗话说“三分技术、七分管理”，一些管理人员对信息科技风险重视程度不够，认为风险管控的是技术问题，没有认识到风险管控应上升至

管理问题。

从实际情况看，存在信息科技风险“讲起来”很重要；“排起队来”显得次要现象。科技风险“一把手”负责制只停留在形式上，没有采取有力措施推进信息科技风险管理。

（二）全员科技风险意识不强。银监会印发的《商业银行信息科技风险管理指引》提出了商业银行

信息科技风险管理的

“三道防线”要求。第一道防线指信息科技管理，需要全员参与风险防范。所有人都应遵守风险防控的准则，人人具备风险防控意识，否则一个U盘就可能将所有安全防范努力付之东流。第一道

防线既是关键也是根本。目前，

全员普遍存在科技风险意识淡薄现象，一些员工认为科技风险就是指各种诸如宕机、

通讯中断、数据丢失等技术的风险，是科技部门、科技人员的事情。一些员工风险培训走过场，使用U盘存在侥幸心理，离岗不拔卡，对信息科技风险缺乏正确的认识。

（三）“二、三道防线”流于形式。商业银行信息科技风险管理的“三道防线”中，第二道防线—事中管理，即风险管理部门如何督促科技部门进行管理；第三道防线—事后审计，审计部门对科技部门及风险管理部门执行情况的一个评价。目前，普遍存在第二、三道防线建设流于形式，风险管理部门没有开展有效的信息科技风险评估、监测以及分析和报告工作。审计稽核部门缺乏专业的信息科技审计稽核人员，存在信息科技审计不知从何下手的现象。信息科技风险管理基本处于科技部门“自治、自控、自评”的状态，缺乏有效的制衡、约束机制。

（四）应急管理缺乏统一指导和协调。

目前，应急方案、保障措施的制订及应急演练仍然局限于科技部门，业务部门及风险管理部门参与不够，应急管理缺乏统一的指导和协调，业务与科技条线的协同不足，不能很好地把信息系统应急与业务的持续服务有效结合起来。应急响应机制建设、应急日常管理及分支机构应急响应工作的检查督导等工作得不到贯彻落实。在系统出现异常时，业务部门不能有效应对，只能被动等待科技部门处理异常。

二、建议及措施（一）深入学习培训，改变全员对科技风险的意识。信息科技风险管理首先要改变的是意识、是思路。建议围绕《商业银行信息科技风险管理指引》，开展深入学习培训，改变全员对信息科技风险的意识，达到全员参与风险防范，所有人遵守风险防控的准则，人人具备风险防控的意识。

1、忧患意识。在信息化高度集中的银行业，尤其是实现数据大集中

的金融机构，信息科技承载了银行业的命脉。

法国兴业银行就因一次简单非授权操作损失几十亿欧元，使企业置于破产的边缘；因为没有进行数据的异地备份，一些机构因“9·11”事件而倒闭。所以，在信息化时代

的今天，全员时刻都要绷紧信息科技风险这根弦，对信息科技风险的造

成的影响要做到心里有数，既要在危难之时有可实施的应急处置预案

和步骤，更要对风险做到未雨绸缪，通过监测、

预警、预案等方法防患于未然。

2、持续意识。信息科技风险管理是一个长期、复杂、多变而又艰辛

的任务。

为了全省农村信用社安全、持续、稳健运行，就要实现信息科技风险管理常态化、专业化，在总体目标持之以恒的基础上，做到工作稳步推进、有序发展。除此之外，还要以开放的姿态不断地学习信息科技风险管理的先进经验，加大创新步伐。这是信息科技风险管理持续发展的基础。

3、全局意识。信息科技风险是全省信用社总体风险的一部分，既要看到信息科技风险对全局风险的影响越来越大，同时还要让信息科技风险管理策略符合总体风险管理策略。信息科技风险要纳入总体风险一并考核。信息科技风险防范不单单是信息科技部门的事情，还需要全体工作人员的共同参与。

（二）高管层推动信息科技风险的管理。只要高管层正确认识信息科技风险，重视信息科技风险，“一把手亲自抓”，工作就能取得立竿见影的成效。

1、对“三道防线”落实的推动。高管层应重视三道防线的建设，配备

足够的资源和具有专业能力的信息科技技术、

审计、监督人员。建立完备的组织保障体系、

技术保障体系，为业务系统的安全运行打下良好的基础；运用科学的方法和手段，经常性地检查，及时发现在技术、人员及流程方面存在的风险隐患，系统地分析信息科技所面临的威胁及其存在的脆弱性；评估风险事件一旦发生可能造成的危害程度，对已经评估出来的风险进行风险控制措施的规划与实施,以建立有效的信息科技风险控制及日常运作机制，把风险降到可以接受的水平。通过内外部审计，保障信息科技风险管控体系的有效运行。

2、对业务连续性工作的推动。业务连续性主要是业务问题而不是

科技问题。

人们往往存在误区：误认为科技是保证业务连续性的有效工具，可以支撑业务发展，这种片面的看法仅仅停留在把科技当拐棍。有些业务连续性的问题不需要科技也能解决。例如：地震期间系统瘫痪，在系统未恢复期间业务可以通过手工记录账户交易，待系统恢复后再重新录入信息。搞好业务连续性管理需要高管层统一指导协调多部门，在做好风险排查的基础上，把更多的功夫用在出了问题如何应对，做好切合实际的应急措施和预案，并做到多部门的“真演练”，在出现问题时能快速反应，控制风险、减少损失。

（三）探讨、优化吸引科技人才环境，建立科技风险管理团队。人才是农村信用社发展的根本动力，再好的风险管理机制，再好的风险管理手段都是一种工具，只能起到辅助作用，真正发挥决定性作用的还是人。现代风险管理知识含量高、技术性强，要求风险管理人员必须具备很高的业务素质和综合素质。为此，信息科技风险管理需要逐步打造一支高素质的风险管理团队。

1、加大科技人才培养力度。从人才引进、培养的渐进性和连续性上优化人员结构，形成梯队，重点加强信息科技风险管理、审计、监督、安全等方面的人才引进和培养力度。

2、开展多元培训教育，提升综合素质。通过专家“请进来”授课，员工“送出去”学习等渠道，加大对现有科技人员培训教育力度，进一步提高科技人员信息科技风险防控能力，同时要增强他们的业务技能及工

作责任心，培养一支思想过硬、

技术精湛的信息科技队伍。3、完善薪酬激励机制，营造吸引人才的环境。积极探索建立和完善符合市场规律的科技人才薪酬激励机制，加大分配制度的激励作用，保障并逐步提高科技人员待遇，进一步稳定科技人员队伍，营造吸引人才

的环境，逐步培养创建一支高、

精、尖的科技人才队伍。—447—