近期，湖北荊州銀監(jiān)分局組織專人，以巡查方式對推進(jìn)農(nóng)村電話銀行“全覆蓋”過程中，縣級(jí)以下基層涉農(nóng)銀行機(jī)構(gòu)（法人及分支機(jī)構(gòu)）信息科技風(fēng)險(xiǎn)狀況進(jìn)行了全面調(diào)查。從調(diào)查情況看，基層銀行機(jī)構(gòu)存在較大信息科技風(fēng)險(xiǎn)隱患，必須引起高度重視。

1.信息科技管理模式現(xiàn)狀

一是分支機(jī)構(gòu)管理模式。主要為國有銀行、股份制銀行的分支機(jī)構(gòu)及各級(jí)農(nóng)合機(jī)構(gòu)。其信息系統(tǒng)的開發(fā)、維護(hù)和管理均由上級(jí)行統(tǒng)一負(fù)責(zé)，市、縣各級(jí)科技部門主要負(fù)責(zé)本行信息系統(tǒng)安全、運(yùn)維和設(shè)備管理。其中市級(jí)分支機(jī)構(gòu)通過成立科技管理部或網(wǎng)絡(luò)信息中心負(fù)責(zé)科技管理工作；市級(jí)中心機(jī)房僅承擔(dān)網(wǎng)絡(luò)通道、應(yīng)用前端和節(jié)點(diǎn)接入功能，負(fù)責(zé)數(shù)據(jù)發(fā)送接收?？h級(jí)分支機(jī)構(gòu)科技管理通常由財(cái)會(huì)、辦公室等部門人員兼任，由上級(jí)行科技部門對其進(jìn)行技術(shù)指導(dǎo)。

二是中小法人管理模式。主要為村鎮(zhèn)銀行和貸款公司等新型農(nóng)村金融機(jī)構(gòu)。其信息化建設(shè)均外包給發(fā)起行，由其統(tǒng)一進(jìn)行建設(shè)；重要信息系統(tǒng)托管于發(fā)起行，或由發(fā)起行托管于第三方機(jī)構(gòu)；科技管理工作通常由財(cái)會(huì)、辦公室等部門人員兼任，由發(fā)起行科技部門對其進(jìn)行技術(shù)指導(dǎo)。

2.存在的主要問題及原因

基層涉農(nóng)銀行機(jī)構(gòu)在信息科技管理中，均不同程度存在人力、物力缺乏，制度、規(guī)范缺位，貫徹執(zhí)行乏力的情況；對信息科技風(fēng)險(xiǎn)的認(rèn)識(shí)停留在表面階段，對于實(shí)質(zhì)存在哪些風(fēng)險(xiǎn)、如何有效降低風(fēng)險(xiǎn)知之甚少。綜合分析，主要是以下五個(gè)方面存在突出問題：

2.1科技崗位缺失導(dǎo)致保障能力不強(qiáng)

轄內(nèi)基層涉農(nóng)銀行機(jī)構(gòu)科技人員整體布局不足，與銀監(jiān)會(huì)要求的“十二五”末達(dá)到3%的目標(biāo)相距甚遠(yuǎn)?；鶎訖C(jī)構(gòu)普遍在人事制度安排上，沒有專業(yè)部門負(fù)責(zé)科技管理，一般由財(cái)務(wù)會(huì)計(jì)、辦公室、綜合部門兼管科技，有的雖成立了信息科技部門，但科技工作職責(zé)上沒有嚴(yán)格獨(dú)立。高管層中也沒有專職領(lǐng)導(dǎo)來分管科技，普遍缺乏對信息科技風(fēng)險(xiǎn)管理內(nèi)涵的認(rèn)知，缺乏整體科技戰(zhàn)略，沒有將信息科技風(fēng)險(xiǎn)管理當(dāng)作日常性工作安排，少有銀行機(jī)構(gòu)召開專題會(huì)議研究部署信息科技管理工作。調(diào)查發(fā)現(xiàn)，城區(qū)科技人員和工作人員的比例約在1%；縣域的比例約在0.4%，即縣級(jí)機(jī)構(gòu)普遍只有1-2名兼職人員負(fù)責(zé)轄內(nèi)縣、鄉(xiāng)、村網(wǎng)點(diǎn)的科技管理和技術(shù)保障，再加上與業(yè)務(wù)部門職能交叉，轄內(nèi)到科技人員占比低，力量薄弱?，F(xiàn)場走訪調(diào)查發(fā)現(xiàn)，轄內(nèi)基層涉農(nóng)機(jī)構(gòu)大量信息科技人員對信息技術(shù)的掌握有限，對系統(tǒng)運(yùn)行中出現(xiàn)的問題和故障缺乏基本的判斷能力，對重要信息系統(tǒng)難以形成有效保障。

2.2管理水平低下，制約信息科技發(fā)展

信息科技管理不僅對人員技術(shù)水平有特殊的要求，管理方法和經(jīng)驗(yàn)也尤為重要，目前轄內(nèi)基層涉農(nóng)銀行機(jī)構(gòu)信息科技整體管理簡單、粗糙，管理水平明顯不足，基本沿用了上級(jí)行的規(guī)章制度，這些制度并不適合組織架構(gòu)較為簡化，人員崗位存在嚴(yán)重不足的基層涉農(nóng)機(jī)構(gòu)，導(dǎo)致制度與實(shí)際脫節(jié)、決策流程不暢、辦事效率底下，相關(guān)工作要求難以有效落實(shí)到工作中去，對業(yè)務(wù)流程管理也缺乏約束。

2.3運(yùn)維管理管理存在風(fēng)險(xiǎn)隱患

一是運(yùn)維管理不規(guī)范。轄內(nèi)多數(shù)基層涉農(nóng)銀行機(jī)構(gòu)未落實(shí)機(jī)房專人值班，僅有少數(shù)機(jī)構(gòu)能夠落實(shí)雙人值班。另外，轄內(nèi)多數(shù)機(jī)構(gòu)未設(shè)置信息安全員崗位，在對柜面人員、科技運(yùn)維人員和中心機(jī)房的安全管理方面，缺乏明確的安全管理制度，部分機(jī)構(gòu)僅憑經(jīng)驗(yàn)與員工進(jìn)行安全管理方面的約定。二是運(yùn)維流程不清晰。轄內(nèi)基層涉農(nóng)銀行機(jī)構(gòu)在運(yùn)維流程方面比較混亂，網(wǎng)絡(luò)出現(xiàn)故障亂作一團(tuán)，沒有章法可循。三是是運(yùn)維手段未建立。目前大部分機(jī)構(gòu)運(yùn)維仍然完全依靠工作人員，銀行普遍使用的安全監(jiān)控、網(wǎng)絡(luò)監(jiān)控、系統(tǒng)和設(shè)備監(jiān)控等技術(shù)手段在基層涉農(nóng)銀行機(jī)構(gòu)還是空白，導(dǎo)致出現(xiàn)故障時(shí)完全依靠經(jīng)驗(yàn)判斷，處置風(fēng)險(xiǎn)的精確度和效率大大降低。

2.4電子渠道信息安全隱患突出

近年，轄內(nèi)基層涉農(nóng)銀行機(jī)構(gòu)連續(xù)發(fā)生3起ATM安全事件，對客戶及銀行的資金安全造成威脅。隨著基層涉農(nóng)銀行機(jī)構(gòu)的銀行卡和電子銀行業(yè)務(wù)快速發(fā)展，基層涉農(nóng)銀行機(jī)構(gòu)科技力量薄弱問題凸顯，難以有效管控信息科技風(fēng)險(xiǎn)。歸結(jié)起來主要問題有三：一是基層涉農(nóng)銀行機(jī)構(gòu)離行式金融機(jī)具管理手段落后，無遠(yuǎn)程管理能力，普遍存在夜間管理困難、缺乏自動(dòng)報(bào)警手段等問題。二是地域廣科技人員少，重要信息系統(tǒng)日常檢查、定期巡查周期過長。三是由于宣傳不到位，縣域客戶自我保護(hù)意識(shí)相對薄弱，個(gè)人信息、銀行卡的密碼等重要信息容易泄漏。

2.5基礎(chǔ)設(shè)施落后，業(yè)務(wù)連續(xù)性缺乏保障

因?yàn)榭萍纪度氩蛔?，基層涉農(nóng)銀行機(jī)構(gòu)的科技基礎(chǔ)設(shè)施建設(shè)建設(shè)風(fēng)險(xiǎn)較大，普遍存在因基礎(chǔ)設(shè)施故障導(dǎo)致業(yè)務(wù)中斷、安全防范設(shè)施不足導(dǎo)致信息被盜的風(fēng)險(xiǎn)較為突出。一是機(jī)房建設(shè)標(biāo)準(zhǔn)較低。部分涉農(nóng)機(jī)構(gòu)機(jī)房布局、面積、防靜電、防火低于國家機(jī)房建設(shè)標(biāo)準(zhǔn)；缺乏精密空調(diào)，硬件設(shè)備正常運(yùn)行的環(huán)境無法保障；缺乏視頻監(jiān)控系統(tǒng)，信息科技突發(fā)事件難以實(shí)時(shí)響應(yīng)；少數(shù)機(jī)構(gòu)還有與其它單位共用機(jī)房，雙方科技人員共同參與管理維護(hù)情況。二是電力保障未達(dá)到監(jiān)管要求。多數(shù)涉農(nóng)機(jī)構(gòu)地處供山區(qū)，供電保障條件較差，未實(shí)行雙路市電、UPS+發(fā)電機(jī)等供電保障機(jī)制，與所處環(huán)境供電情況存在一定差距。三是重要網(wǎng)絡(luò)通信設(shè)備缺少冗余備份。盡管網(wǎng)絡(luò)接入基本采用了專線，主要網(wǎng)絡(luò)設(shè)備也有冗余備份，但出于成本考慮，通訊線路大部分是單線運(yùn)行，因通訊故障和通訊運(yùn)營商服務(wù)質(zhì)量導(dǎo)致業(yè)務(wù)中斷的故障時(shí)有發(fā)生。

3.監(jiān)管建議

3.1立足市場準(zhǔn)入，科技監(jiān)管地位要明確

監(jiān)管部門應(yīng)將縣級(jí)以下機(jī)構(gòu)信息科技風(fēng)險(xiǎn)納入監(jiān)管視野，關(guān)注涉農(nóng)銀行機(jī)構(gòu)的信息系統(tǒng)安全穩(wěn)定問題，通過制訂相關(guān)政策法規(guī)，將信息科技監(jiān)管納入市場準(zhǔn)入工作，將科技風(fēng)險(xiǎn)關(guān)口前移，嚴(yán)控信息科技風(fēng)險(xiǎn)。一是明確縣級(jí)以下分支機(jī)構(gòu)科技準(zhǔn)入標(biāo)準(zhǔn)，包括科技人員覆蓋率、年度投入等，確保信息科技人力物力投入力度；二是制定新型農(nóng)村金融機(jī)構(gòu)科技建設(shè)準(zhǔn)入門檻，確保小法人機(jī)構(gòu)的基礎(chǔ)設(shè)施能保障業(yè)務(wù)連續(xù)性發(fā)展；三是加大縣域機(jī)構(gòu)信息科技風(fēng)險(xiǎn)巡查力度，確保農(nóng)村金融服務(wù)質(zhì)量不斷提升。

3.2立足制度建設(shè)，科技治理架構(gòu)要規(guī)范

縣級(jí)以下分支機(jī)構(gòu)應(yīng)將信息科技風(fēng)險(xiǎn)納入風(fēng)險(xiǎn)管理總體框架，并重點(diǎn)從制度建設(shè)、基建保障、業(yè)務(wù)連續(xù)性管理等方面予以改進(jìn)和完善。一是整章建制。要認(rèn)真貫徹落實(shí)銀監(jiān)會(huì)《商業(yè)銀行信息科技風(fēng)險(xiǎn)防范管理指引》，逐步制定符合實(shí)際情況的科技制度，形成完整、實(shí)用的規(guī)章制度體系，從制度上提高科技風(fēng)險(xiǎn)管理能力；二是狠抓基建。有計(jì)劃的提升基礎(chǔ)設(shè)施建設(shè)水平，建立對供電、通訊和主要設(shè)備冗余備份機(jī)制，不斷加強(qiáng)容災(zāi)能力，以滿足未來業(yè)務(wù)發(fā)展的需要；三是連續(xù)性管理。加強(qiáng)環(huán)境監(jiān)控措施，適時(shí)開展應(yīng)急演練和測評(píng)，確保在發(fā)生重大突發(fā)信息科技突發(fā)事件時(shí)，能夠迅速做出反應(yīng)并從容應(yīng)對。

3.3立足多維監(jiān)管，多方合作要加強(qiáng)

信息科技風(fēng)險(xiǎn)管理是銀行全面風(fēng)險(xiǎn)管理體系的重要組成部分，科技風(fēng)險(xiǎn)管理工作要調(diào)用全行資源，多方合作，形成合力，共同防范。一是加強(qiáng)監(jiān)管聯(lián)動(dòng)。要建立上下條線、橫向跨區(qū)的多維立體式監(jiān)管模式，有效借助外圍的風(fēng)險(xiǎn)苗頭防范轄內(nèi)風(fēng)險(xiǎn)；上級(jí)主管行或發(fā)起行要加強(qiáng)對基層行在信息科技風(fēng)險(xiǎn)防范方面的業(yè)務(wù)指導(dǎo)和培訓(xùn)，及時(shí)解決對基層行反映的風(fēng)險(xiǎn)防范中的困難；二是加強(qiáng)與媒體合作?；鶎由孓r(nóng)銀行機(jī)構(gòu)通過電子渠道發(fā)展的新品種、新服務(wù)要借助媒體進(jìn)行安全操作的宣傳，增強(qiáng)客戶的風(fēng)險(xiǎn)防范意識(shí)；三是加強(qiáng)與公安部門合作。為減少電子機(jī)具的發(fā)案率，要積極配合公安部門，加強(qiáng)對自助銀行和自助服務(wù)區(qū)的巡查力度，及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)隱患。