浅析村镇银行信息科技风险及对策

风险现状

(一)风险管理不够重视。机构的高管对信息科技风险管理工作不够重视。表现在：高管人员认为现在普遍实行大机集中，科技风险管理是上级的事情，基层科技就是配合上级保证线路畅通就行了，对当前信息科技所面临的严峻形势认识不足，对自身管理中的疏漏和不足也缺乏必要的认识。部分机构存在重视科技服务，轻科技风险管理现象，将科技仅仅作为后台支持工具，并没有从组织架构、岗位设置、机房管理、业务连续性管理、运行管理、风险评估等方面进行综合协调管理。

(二)人员不足，弱化信息科技未来发展的可持续性。科技人员配备不足，个别机构甚至无专职科技人员，科技人员除承担机房、网络运行维护和安全管理外，还承担本地特色业务开发任务，运管人员严重不足，必要的岗位设置和岗位制约措施无法有效实施，兼岗问题严重。部分机构对科技人员还有业务指标考核，使得科技人员超负荷工作，存在潜在风险。

(三)信息科技风险防范 “三道防线”不完整。存在信息科技职责不明确，管理不到位情况。部分机构将科技管理、技术支持、科技风险防范等全部工作交由科技人员负责，风险管理部门和审计部门未能有效参与信息科技风险管理工作。

监管建议

(一)高度重视信息科技风险管理工作。高管层要高度重视信息科技风险管理工作，要充分认识到信息科技是支撑各机构稳定运行的关键和薄弱环节，切实把信息科技建设和风险管理贯穿到经营发展的各个环节。要经常关注信息科技风险动向，关心科技人员成长，通过加强信息科技队伍建设、加强教育培训、开展常规检查等不断提高信息科技风险管理水平。

(二)进一步规范信息科技风险管理。要按照有关要求，进一步规范信息科技风险管理。要建立完善的信息系统管理制度，确保全面涵盖信息系统的安全风险点，如：用户管理、物理安全、网络安全、操作系统安全、数据库安全、各类业务系统安全、客户端安全、簿防护、敏感数据保护、文档管理等内容。管理制度应正式发文予以公布，或收集整理形成制度汇编以便于员工学习掌握。要认真抓好各项制度的执行工作，确保落实到位。

(三)切实加强信息系统安全运行保障工作。要按照“谁主管谁负责、谁运营谁负责”的基本要求，落实责任，排查隐患、堵塞漏洞，严格落实相关监管要求，确保业务服务连续性。要关注机房、网络系统等基础设施中的风险隐患，及时进行整改完善。切实规范机房管理、网络管理，确保不留安全死角。要密切关注网银系统安全和外包管理等风险高发领域问题，要建立有效的网银入侵监控和报警机制以及全面、动态的安全评估机制，强化外包风险管理，加强外包风险控制，做到风险责任不外包。(南阳银监分局 杨延基)