涉農(nóng)機構(gòu)信息科技五大薄弱環(huán)節(jié)值得廣泛關(guān)注

近期，湖北荊州銀監(jiān)分局組織專人，以巡查方式對推進農(nóng)村電話銀行“全覆蓋”過程中，縣級以下基層涉農(nóng)銀行機構(gòu)（法人及分支機構(gòu)）信息科技風險狀況進行了全面調(diào)查。從調(diào)查情況看，基層銀行機構(gòu)存在較大信息科技風險隱患，必須引起高度重視。

1.信息科技管理模式現(xiàn)狀

一是分支機構(gòu)管理模式。主要為國有銀行、股份制銀行的分支機構(gòu)及各級農(nóng)合機構(gòu)。其信息系統(tǒng)的開發(fā)、維護和管理均由上級行統(tǒng)一負責，市、縣各級科技部門主要負責本行信息系統(tǒng)安全、運維和設(shè)備管理。其中市級分支機構(gòu)通過成立科技管理部或網(wǎng)絡信息中心負責科技管理工作；市級中心機房僅承擔網(wǎng)絡通道、應用前端和節(jié)點接入功能，負責數(shù)據(jù)發(fā)送接收。縣級分支機構(gòu)科技管理通常由財會、辦公室等部門人員兼任，由上級行科技部門對其進行技術(shù)指導。

二是中小法人管理模式。主要為村鎮(zhèn)銀行和貸款公司等新型農(nóng)村金融機構(gòu)。其信息化建設(shè)均外包給發(fā)起行，由其統(tǒng)一進行建設(shè)；重要信息系統(tǒng)托管于發(fā)起行，或由發(fā)起行托管于第三方機構(gòu)；科技管理工作通常由財會、辦公室等部門人員兼任，由發(fā)起行科技部門對其進行技術(shù)指導。

2.存在的主要問題及原因

基層涉農(nóng)銀行機構(gòu)在信息科技管理中，均不同程度存在人力、物力缺乏，制度、規(guī)范缺位，貫徹執(zhí)行乏力的情況；對信息科技風險的認識停留在表面階段，對于實質(zhì)存在哪些風險、如何有效降低風險知之甚少。綜合分析，主要是以下五個方面存在突出問題：

2.1科技崗位缺失導致保障能力不強

轄內(nèi)基層涉農(nóng)銀行機構(gòu)科技人員整體布局不足，與銀監(jiān)會要求的“十二五”末達到3%的目標相距甚遠?；鶎訖C構(gòu)普遍在人事制度安排上，沒有專業(yè)部門負責科技管理，一般由財務會計、辦公室、綜合部門兼管科技，有的雖成立了信息科技部門，但科技工作職責上沒有嚴格獨立。高管層中也沒有專職領(lǐng)導來分管科技，普遍缺乏對信息科技風險管理內(nèi)涵的認知，缺乏整體科技戰(zhàn)略，沒有將信息科技風險管理當作日常性工作安排，少有銀行機構(gòu)召開專題會議研究部署信息科技管理工作。調(diào)查發(fā)現(xiàn)，城區(qū)科技人員和工作人員的比例約在1%；縣域的比例約在0.4%，即縣級機構(gòu)普遍只有1-2名兼職人員負責轄內(nèi)縣、鄉(xiāng)、村網(wǎng)點的科技管理和技術(shù)保障，再加上與業(yè)務部門職能交叉，轄內(nèi)到科技人員占比低，力量薄弱?，F(xiàn)場走訪調(diào)查發(fā)現(xiàn)，轄內(nèi)基層涉農(nóng)機構(gòu)大量信息科技人員對信息技術(shù)的掌握有限，對系統(tǒng)運行中出現(xiàn)的問題和故障缺乏基本的判斷能力，對重要信息系統(tǒng)難以形成有效保障。

2.2管理水平低下，制約信息科技發(fā)展

信息科技管理不僅對人員技術(shù)水平有特殊的要求，管理方法和經(jīng)驗也尤為重要，目前轄內(nèi)基層涉農(nóng)銀行機構(gòu)信息科技整體管理簡單、粗糙，管理水平明顯不足，基本沿用了上級行的規(guī)章制度，這些制度并不適合組織架構(gòu)較為簡化，人員崗位存在嚴重不足的基層涉農(nóng)機構(gòu)，導致制度與實際脫節(jié)、決策流程不暢、辦事效率底下，相關(guān)工作要求難以有效落實到工作中去，對業(yè)務流程管理也缺乏約束。

2.3運維管理管理存在風險隱患

一是運維管理不規(guī)范。轄內(nèi)多數(shù)基層涉農(nóng)銀行機構(gòu)未落實機房專人值班，僅有少數(shù)機構(gòu)能夠落實雙人值班。另外，轄內(nèi)多數(shù)機構(gòu)未設(shè)置信息安全員崗位，在對柜面人員、科技運維人員和中心機房的安全管理方面，缺乏明確的安全管理制度，部分機構(gòu)僅憑經(jīng)驗與員工進行安全管理方面的約定。二是運維流程不清晰。轄內(nèi)基層涉農(nóng)銀行機構(gòu)在運維流程方面比較混亂，網(wǎng)絡出現(xiàn)故障亂作一團，沒有章法可循。三是是運維手段未建立。目前大部分機構(gòu)運維仍然完全依靠工作人員，銀行普遍使用的安全監(jiān)控、網(wǎng)絡監(jiān)控、系統(tǒng)和設(shè)備監(jiān)控等技術(shù)手段在基層涉農(nóng)銀行機構(gòu)還是空白，導致出現(xiàn)故障時完全依靠經(jīng)驗判斷，處置風險的精確度和效率大大降低。

2.4電子渠道信息安全隱患突出

近年，轄內(nèi)基層涉農(nóng)銀行機構(gòu)連續(xù)發(fā)生3起ATM安全事件，對客戶及銀行的資金安全造成威脅。隨著基層涉農(nóng)銀行機構(gòu)的銀行卡和電子銀行業(yè)務快速發(fā)展，基層涉農(nóng)銀行機構(gòu)科技力量薄弱問題凸顯，難以有效管控信息科技風險。歸結(jié)起來主要問題有三：一是基層涉農(nóng)銀行機構(gòu)離行式金融機具管理手段落后，無遠程管理能力，普遍存在夜間管理困難、缺乏自動報警手段等問題。二是地域廣科技人員少，重要信息系統(tǒng)日常檢查、定期巡查周期過長。三是由于宣傳不到位，縣域客戶自我保護意識相對薄弱，個人信息、銀行卡的密碼等重要信息容易泄漏。

2.5基礎(chǔ)設(shè)施落后，業(yè)務連續(xù)性缺乏保障

因為科技投入不足，基層涉農(nóng)銀行機構(gòu)的科技基礎(chǔ)設(shè)施建設(shè)建設(shè)風險較大，普遍存在因基礎(chǔ)設(shè)施故障導致業(yè)務中斷、安全防范設(shè)施不足導致信息被盜的風險較為突出。一是機房建設(shè)標準較低。部分涉農(nóng)機構(gòu)機房布局、面積、防靜電、防火低于國家機房建設(shè)標準；缺乏精密空調(diào)，硬件設(shè)備正常運行的環(huán)境無法保障；缺乏視頻監(jiān)控系統(tǒng)，信息科技突發(fā)事件難以實時響應；少數(shù)機構(gòu)還有與其它單位共用機房，雙方科技人員共同參與管理維護情況。二是電力保障未達到監(jiān)管要求。多數(shù)涉農(nóng)機構(gòu)地處供山區(qū)，供電保障條件較差，未實行雙路市電、UPS+發(fā)電機等供電保障機制，與所處環(huán)境供電情況存在一定差距。三是重要網(wǎng)絡通信設(shè)備缺少冗余備份。盡管網(wǎng)絡接入基本采用了專線，主要網(wǎng)絡設(shè)備也有冗余備份，但出于成本考慮，通訊線路大部分是單線運行，因通訊故障和通訊運營商服務質(zhì)量導致業(yè)務中斷的故障時有發(fā)生。

3.監(jiān)管建議

3.1立足市場準入，科技監(jiān)管地位要明確

監(jiān)管部門應將縣級以下機構(gòu)信息科技風險納入監(jiān)管視野，關(guān)注涉農(nóng)銀行機構(gòu)的信息系統(tǒng)安全穩(wěn)定問題，通過制訂相關(guān)政策法規(guī)，將信息科技監(jiān)管納入市場準入工作，將科技風險關(guān)口前移，嚴控信息科技風險。一是明確縣級以下分支機構(gòu)科技準入標準，包括科技人員覆蓋率、年度投入等，確保信息科技人力物力投入力度；二是制定新型農(nóng)村金融機構(gòu)科技建設(shè)準入門檻，確保小法人機構(gòu)的基礎(chǔ)設(shè)施能保障業(yè)務連續(xù)性發(fā)展；三是加大縣域機構(gòu)信息科技風險巡查力度，確保農(nóng)村金融服務質(zhì)量不斷提升。

3.2立足制度建設(shè)，科技治理架構(gòu)要規(guī)范

縣級以下分支機構(gòu)應將信息科技風險納入風險管理總體框架，并重點從制度建設(shè)、基建保障、業(yè)務連續(xù)性管理等方面予以改進和完善。一是整章建制。要認真貫徹落實銀監(jiān)會《商業(yè)銀行信息科技風險防范管理指引》，逐步制定符合實際情況的科技制度，形成完整、實用的規(guī)章制度體系，從制度上提高科技風險管理能力；二是狠抓基建。有計劃的提升基礎(chǔ)設(shè)施建設(shè)水平，建立對供電、通訊和主要設(shè)備冗余備份機制，不斷加強容災能力，以滿足未來業(yè)務發(fā)展的需要；三是連續(xù)性管理。加強環(huán)境監(jiān)控措施，適時開展應急演練和測評，確保在發(fā)生重大突發(fā)信息科技突發(fā)事件時，能夠迅速做出反應并從容應對。

3.3立足多維監(jiān)管，多方合作要加強

信息科技風險管理是銀行全面風險管理體系的重要組成部分，科技風險管理工作要調(diào)用全行資源，多方合作，形成合力，共同防范。一是加強監(jiān)管聯(lián)動。要建立上下條線、橫向跨區(qū)的多維立體式監(jiān)管模式，有效借助外圍的風險苗頭防范轄內(nèi)風險；上級主管行或發(fā)起行要加強對基層行在信息科技風險防范方面的業(yè)務指導和培訓，及時解決對基層行反映的風險防范中的困難；二是加強與媒體合作。基層涉農(nóng)銀行機構(gòu)通過電子渠道發(fā)展的新品種、新服務要借助媒體進行安全操作的宣傳，增強客戶的風險防范意識；三是加強與公安部門合作。為減少電子機具的發(fā)案率，要積極配合公安部門，加強對自助銀行和自助服務區(qū)的巡查力度，及時發(fā)現(xiàn)風險隱患。