農(nóng)村信用社信息科技風(fēng)險(xiǎn)管理存在的問(wèn)題及建議

1、基層農(nóng)村信用社信息科技風(fēng)險(xiǎn)管理存在的問(wèn)題及建議隨著農(nóng)信社信息化的 發(fā)展,信息科技的作用已從業(yè)務(wù)支持逐步走向與業(yè)務(wù)的融合，并成為農(nóng)信社穩(wěn)健 運(yùn)營(yíng)和發(fā)展的支柱，然而，對(duì)于信息科技風(fēng)險(xiǎn)管控尚處于起步階段，如何最大 限度地防范信息科技風(fēng)險(xiǎn)，充分享受信息科技帶來(lái)的便捷和效率，已成為當(dāng)前 我們必須認(rèn)真研究的一個(gè)重要課題，信息科技風(fēng)險(xiǎn)防范工作亟待加強(qiáng)。為此，近期臨夏銀監(jiān)分局深入轄內(nèi)信用社，了解信息科技風(fēng)險(xiǎn)管理情況， 掌握信息科技風(fēng)險(xiǎn)管理水平，督促其建立有效的信息科技風(fēng)險(xiǎn)管理機(jī)制，增強(qiáng) 信息科技風(fēng)險(xiǎn)的控制能力。一、當(dāng)前農(nóng)村信用社信息科技風(fēng)險(xiǎn)管理存在的主要問(wèn)題信息科技，是指商 業(yè)銀行采用計(jì)算機(jī)、通信、微電子和軟

2、件工程等現(xiàn)代信息技術(shù)，在業(yè)務(wù)交易處 理、經(jīng)營(yíng)管理和內(nèi)部控制等方面的應(yīng)用，并包括專項(xiàng)治理、建立完整的管理組 織架構(gòu)、制定完善的管理策略和制度。信息科技風(fēng)險(xiǎn)，是指信息科技在商業(yè)銀行運(yùn)用過(guò)程中，由于自然因素、人 為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。由于近年來(lái)農(nóng)村信用社各項(xiàng)業(yè)務(wù)快速發(fā)展，信息化水平的不斷提高，新設(shè) 備、新技術(shù)、新程序的大量應(yīng)用，信息科技風(fēng)險(xiǎn)防范工作亦面臨著新的形勢(shì)、 新的情況和新的問(wèn)題，呈現(xiàn)出多元發(fā)展的趨勢(shì)其風(fēng)險(xiǎn)范疇也從單一的技術(shù)領(lǐng)域 延伸至投資、經(jīng)營(yíng)、管理的各個(gè)層面。（一）信息科技治理管理架構(gòu)存在缺陷。一是思想認(rèn)識(shí)不到位。目前，基層農(nóng)信聯(lián)社管理層普遍存在著重視信息

3、科技建設(shè)、輕信息科技管 理，重信息科技建設(shè)的檔次提升、輕信息科技風(fēng)險(xiǎn)防范，重眼前業(yè)務(wù)發(fā)展、輕 長(zhǎng)期信息科技發(fā)規(guī)劃等問(wèn)題，缺乏對(duì)信息科技的關(guān)注和統(tǒng)籌安排，對(duì)信息科技 的風(fēng)險(xiǎn)了解不多，信息科技工作的實(shí)際地位在基層信用社是說(shuō)起來(lái)重要、做起來(lái)急著要，排起隊(duì)來(lái)次要，出了問(wèn)題什么都不要 "，信息科技風(fēng)險(xiǎn)管理相對(duì)薄 弱。二是制度制定、執(zhí)行不到位。信用社制訂的信息科技制度分散于其他管理制度中，不具系統(tǒng)性，且操作 性也不強(qiáng)，沒(méi)有形成一整套完善有效的信息科技風(fēng)險(xiǎn)管理制度。即便是制定了一些制度，但落實(shí)不到位，制度的約束性形同虛設(shè)。（二）機(jī)制保障及應(yīng)急預(yù)案有待完善。農(nóng)信社網(wǎng)點(diǎn)機(jī)構(gòu)的應(yīng)急預(yù)案僅停留在形式上。盡

4、管各社制定了系統(tǒng)應(yīng)急預(yù)案，但仍有部分社從未進(jìn)行過(guò)應(yīng)急演練，也沒(méi) 有進(jìn)行過(guò)壓力測(cè)試，并不能保證及時(shí)處輅事故或緊急事件；部分社應(yīng)急預(yù)案涵蓋 面過(guò)大，缺乏針對(duì)性和操作性，影響應(yīng)急預(yù)案的實(shí)效部分信用社業(yè)務(wù)連續(xù)性缺 乏有效技術(shù)支持，且涵蓋范圍小，大部分局限在網(wǎng)絡(luò)及數(shù)據(jù)的備份層次。止匕外，多數(shù)沒(méi)有成立業(yè)務(wù)連續(xù)性管理委員會(huì)一類的領(lǐng)導(dǎo)組織，在發(fā)生業(yè)務(wù) 連續(xù)性風(fēng)險(xiǎn)時(shí)，統(tǒng)一指揮、協(xié)調(diào)存在一定困難。重要信息系統(tǒng)的應(yīng)急預(yù)案多數(shù)缺乏實(shí)踐性檢驗(yàn)，其可行性和可操作性不能 得到有效保證。對(duì)于已制定的應(yīng)急預(yù)案，沒(méi)有覆蓋全部信息系統(tǒng)、關(guān)鍵設(shè)施及相關(guān)業(yè)務(wù)保 障部門，沒(méi)有詳細(xì)的操作方法和步驟，可操作性不強(qiáng)，影響應(yīng)急預(yù)案的實(shí)效。（三）

5、信息科技人員力量薄弱。一是科技力量相對(duì)薄弱。信息科技管理部門人員配備不足，科技人員數(shù)量與轄內(nèi)網(wǎng)點(diǎn)數(shù)量嚴(yán)重不匹 配，由此造成系統(tǒng)開(kāi)發(fā)、技術(shù)支持、系統(tǒng)操作維護(hù)和系統(tǒng)安全崗位交叉，往往 身兼數(shù)崗，關(guān)鍵崗位A、B角制度難以落實(shí)；技術(shù)支持崗位未能實(shí)現(xiàn)崗位定期輪換，缺乏專門的技 術(shù)風(fēng)險(xiǎn)管理部門或崗位進(jìn)行有效的監(jiān)督約束，不能有效識(shí)別并量化可能存在的 信息科技風(fēng)險(xiǎn)因素。三是科技人員知識(shí)水平不高。大部分機(jī)構(gòu)普遍存在缺乏專業(yè)高素質(zhì)人員，而且隨著信息化知識(shí)的更新步 伐，科技隊(duì)伍工作人員的學(xué)習(xí)培訓(xùn)跟不上知識(shí)更新步伐，參加信息科技風(fēng)險(xiǎn)培 訓(xùn)較少，缺少完整、系統(tǒng)的信息科技風(fēng)險(xiǎn)的概念和相關(guān)知識(shí)，對(duì)自身運(yùn)營(yíng)的業(yè) 務(wù)系統(tǒng)、機(jī)房

6、管理等實(shí)體系統(tǒng)認(rèn)識(shí)較深，對(duì)信息科技項(xiàng)目開(kāi)發(fā)和變更管理情 況、業(yè)務(wù)持續(xù)性計(jì)劃等認(rèn)識(shí)較為膚淺，部分人員甚至在信息科技風(fēng)險(xiǎn)就是保證 業(yè)務(wù)系統(tǒng)正常運(yùn)轉(zhuǎn)的錯(cuò)誤觀念，極易忽視了自身各級(jí)系統(tǒng)的漏洞和隱患排查、 除險(xiǎn)，在認(rèn)知上存在著對(duì)風(fēng)險(xiǎn)防范的盲區(qū)和誤區(qū)。四是一線操作人員風(fēng)險(xiǎn)意識(shí)淡薄。信息科技風(fēng)險(xiǎn)需要全員參與，上至高層領(lǐng)導(dǎo)的決策，下至每位臨柜人員都 是風(fēng)險(xiǎn)的防范者，但目前在一線操作人員中，尚未形成人人有責(zé)的共識(shí)，廣大 員工對(duì)信息安全的重要性輅若罔聞。由于科技部門在農(nóng)村信用社屬于服務(wù)部門，部分高管層認(rèn)為，科技部門只 要能夠保證設(shè)備及網(wǎng)絡(luò)的正常運(yùn)轉(zhuǎn)，不出問(wèn)題就可以。這一認(rèn)識(shí)誤區(qū)造成了科技部門的人員配備、機(jī)構(gòu)設(shè)輅上

7、相對(duì)其他部門處于 弱勢(shì)地位。例如：永靖縣農(nóng)村信用合作聯(lián)社信息科技人員只有一名，基層社沒(méi)有信息科技人 員。他除了進(jìn)行日常綜合業(yè)務(wù)系統(tǒng)維護(hù)外，往往還要身兼數(shù)崗，關(guān)鍵崗位輪 換、強(qiáng)制休假等制度難以落實(shí)，不能適應(yīng)當(dāng)前業(yè)務(wù)拓展與IT水平同步發(fā)展的需要。以此來(lái)看，農(nóng)村信用社信息科技人員的配備與當(dāng)前信息系統(tǒng)的高速發(fā)展不 相匹配，這些都是容易導(dǎo)致信息科技風(fēng)險(xiǎn)發(fā)生的重大隱患。（四）系統(tǒng)硬件建設(shè)存在安全隱患。一是機(jī)房管理有待加強(qiáng)。機(jī)房的防火和供電等方面達(dá)不到要求，機(jī)房沒(méi)有設(shè)輅防雷系統(tǒng)，監(jiān)控存在 盲區(qū)、不設(shè)輅門禁系統(tǒng)；基層社對(duì)電子設(shè)備缺乏保養(yǎng)，大大影響使用效果和使 用壽命，存在一定的技術(shù)風(fēng)險(xiǎn)。二是網(wǎng)絡(luò)運(yùn)行安全有待提

8、高。省聯(lián)社數(shù)據(jù)大集中后，基層農(nóng)信社、縣級(jí)聯(lián)社到省聯(lián)社的網(wǎng)絡(luò)穩(wěn)定性和通 暢性極為重要，而其主、備通訊線路違反要求使用電信一家通訊公司線路，一 旦一個(gè)網(wǎng)點(diǎn)出現(xiàn)問(wèn)題，工作就會(huì)受到影響，存在潛在的聲譽(yù)風(fēng)險(xiǎn)。二、加強(qiáng)信息科技風(fēng)險(xiǎn)管理的對(duì)策建議（一）提高思想認(rèn)識(shí)，加大科技投 入。信息科技工作是當(dāng)前金融機(jī)構(gòu)經(jīng)營(yíng)與監(jiān)管的重要基礎(chǔ)和技術(shù)保障，必須充 分認(rèn)識(shí)信息科技工作在金融業(yè)監(jiān)管中的重要作用，切實(shí)加強(qiáng)對(duì)信息科技風(fēng)險(xiǎn)監(jiān) 管工作的組織領(lǐng)導(dǎo)。農(nóng)村信用合作聯(lián)社要提高思想認(rèn)識(shí)，深刻理解信息科技風(fēng)險(xiǎn)管理的重要 性，將信息科技風(fēng)險(xiǎn)管理納入到全面風(fēng)險(xiǎn)管理之中。另外，還要根據(jù)現(xiàn)場(chǎng)檢查發(fā)現(xiàn)的信息科技風(fēng)險(xiǎn)點(diǎn)，加大信息科技建設(shè)投 入，

9、積極整改，對(duì)設(shè)備老化、硬件設(shè)備不足等風(fēng)險(xiǎn)點(diǎn)要積極加以改進(jìn)，及時(shí)消 除信息科技系統(tǒng)中存在的各種風(fēng)險(xiǎn)和隱患，確保各項(xiàng)服務(wù)安全連續(xù)進(jìn)行。（二）完善應(yīng)急預(yù)案，加強(qiáng)應(yīng)急演練，提高系統(tǒng)響應(yīng)能力。一是應(yīng)定期、不定期開(kāi)展信息科技人員應(yīng)急管理培訓(xùn)，并根據(jù)自身規(guī)模、 復(fù)雜程度及風(fēng)險(xiǎn)發(fā)生部位、概率和危害程度，及時(shí)組織信息科技應(yīng)急預(yù)案演 練，并不斷修改完善應(yīng)急預(yù)案內(nèi)容，提高對(duì)各類突發(fā)事件的處輅能力。二是要高度重視，切實(shí)加強(qiáng)信息系統(tǒng)業(yè)務(wù)連續(xù)性管理，增強(qiáng)信息科技應(yīng)急 處輅能力。要嚴(yán)格按照突發(fā)事件應(yīng)對(duì)法、國(guó)家金融突發(fā)事件應(yīng)急預(yù)案等法律 法規(guī)要求，結(jié)合自身實(shí)際，加快應(yīng)急體系建設(shè)，加強(qiáng)業(yè)務(wù)持續(xù)性應(yīng)急演練。三是進(jìn)一步完善應(yīng)急演練

10、方案，切實(shí)提高應(yīng)急水平和能力。要做到責(zé)任明確、流程明確、預(yù)案明確、報(bào)告明確、聯(lián)絡(luò)明確，制定切實(shí) 可行、要件完備的應(yīng)急方案。同時(shí)要加大應(yīng)急方案的演練，熟練掌握各種應(yīng)急手段，提高抗風(fēng)險(xiǎn)能力和 突發(fā)事件應(yīng)對(duì)能力，不斷完善信息系統(tǒng)安全運(yùn)行體系。（三）充實(shí)科技監(jiān)管隊(duì)伍，加強(qiáng)內(nèi)控管理。要采取切實(shí)措施，大量引進(jìn)信息科技專業(yè)人員，加大信息科技人才培訓(xùn)力 度，按照銀監(jiān)會(huì)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引的要求，充實(shí)信息科技審 計(jì)力量，完善管理制度，嚴(yán)格按照管理、運(yùn)行、維護(hù)等崗位配備人員，關(guān)鍵崗 位必須配備AB角，真正做到人員控制、制度控制、系統(tǒng)控制三到位。要加強(qiáng)要害崗位管理，計(jì)算機(jī)業(yè)務(wù)數(shù)據(jù)錄入員、系統(tǒng)管理員之間，應(yīng)按

11、照 權(quán)力、責(zé)任范圍實(shí)行嚴(yán)格的限制，相互制約、互相監(jiān)督，嚴(yán)禁系統(tǒng)管理人員、 網(wǎng)絡(luò)技術(shù)人員和前臺(tái)操作人員混崗、代崗或一人多崗。同時(shí)要制定信息科技風(fēng)險(xiǎn)審計(jì)辦法，定期對(duì)信息科技風(fēng)險(xiǎn)狀況進(jìn)行審計(jì)評(píng) 價(jià)，督促建立技術(shù)安全保障體系。要加大信息科技安全檢查力度，定期和不定期進(jìn)行安全檢查，及時(shí)糾正問(wèn) 題和消除隱患。（四）改善運(yùn)行環(huán)境，加強(qiáng)信息科技風(fēng)險(xiǎn)培訓(xùn)。一是要采取有效措施，改善機(jī)房的供電系統(tǒng)和消防安全狀況，按照機(jī)房建 設(shè)要求增加防雷系統(tǒng)，更新核心業(yè)務(wù)系統(tǒng)設(shè)備，保證核心業(yè)務(wù)系統(tǒng)雙機(jī)熱備不 間斷工作；要完善運(yùn)行值班制度，保證對(duì)核心業(yè)務(wù)系統(tǒng)及網(wǎng)絡(luò)運(yùn)行狀況的有效 監(jiān)控，針對(duì)故障進(jìn)行有效的預(yù)測(cè)和報(bào)警。二是要加大對(duì)信息科

12、技風(fēng)險(xiǎn)的培訓(xùn)力度，建議抽調(diào)一些業(yè)務(wù)骨干進(jìn)行專門 的信息科技培訓(xùn)，通過(guò)對(duì)信息科技的專項(xiàng)培訓(xùn)，培養(yǎng)一批專門從事信息科技工 作的干部，保障信息系統(tǒng)的安全、穩(wěn)健運(yùn)行。隨著農(nóng)信社信息化的發(fā)展，信息科技的作用已從業(yè)務(wù)支持逐步走向與業(yè)務(wù)的 融合，并成為農(nóng)信社穩(wěn)健運(yùn)營(yíng)和發(fā)展的支柱，然而，對(duì)于信息科技風(fēng)險(xiǎn)管控尚處于起步階段，如何最大限度地防范信息科技風(fēng)險(xiǎn)，充分享受信息科技帶來(lái)的 便捷和效率，已成為當(dāng)前我們必須認(rèn)真研究的一個(gè)重要課題，信息科技風(fēng)險(xiǎn)防 范工作亟待加強(qiáng)。一、當(dāng)前信息科技風(fēng)險(xiǎn)防范工作中存在的主要問(wèn)題信息科技，是指商業(yè)銀 行采用計(jì)算機(jī)、通信、微電子和軟件工程等現(xiàn)代信息技術(shù)，在業(yè)務(wù)交易處理、 經(jīng)營(yíng)管理和內(nèi)部

13、控制等方面的應(yīng)用，并包括專項(xiàng)治理、建立完整的管理組織架 構(gòu)、制定完善的管理策略和制度。信息科技風(fēng)險(xiǎn)，是指信息科技在商業(yè)銀行運(yùn)用過(guò)程中，由于自然因素、人 為因素、技術(shù)漏洞和管理缺陷產(chǎn)生的操作、法律和聲譽(yù)等風(fēng)險(xiǎn)。由于近年來(lái)農(nóng)村信用社各項(xiàng)業(yè)務(wù)快速發(fā)展，信息化水平的不斷提高，新設(shè) 備、新技術(shù)、新程序的大量應(yīng)用，信息科技風(fēng)險(xiǎn)防范工作亦面臨著新的形勢(shì)、 新的情況和新的問(wèn)題，呈現(xiàn)出多元發(fā)展的趨勢(shì)其風(fēng)險(xiǎn)范疇也從單一的技術(shù)領(lǐng)域 延伸至投資、經(jīng)營(yíng)、管理的各個(gè)層面。（一）對(duì)信息科技風(fēng)險(xiǎn)認(rèn)識(shí)不到位一是思想認(rèn)識(shí)不到位。目前，基層農(nóng)信聯(lián)社管理層普遍存在著重視信息科技建設(shè)、輕信息科技管 理，重信息科技建設(shè)的檔次提升、輕信息

14、科技風(fēng)險(xiǎn)防范，重眼前業(yè)務(wù)發(fā)展、輕 長(zhǎng)期信息科技發(fā)規(guī)劃等問(wèn)題，缺乏對(duì)信息科技的關(guān)注和統(tǒng)籌安排，對(duì)信息科技 的風(fēng)險(xiǎn)了解不多，信息科技工作的實(shí)際地位在基層信用社是說(shuō)起來(lái)重要、做起來(lái)急著要，排起隊(duì)來(lái)次要，出了問(wèn)題什么都不要 "，信息科技風(fēng)險(xiǎn)管理相對(duì)薄 弱。二是科技力量相對(duì)薄弱。信息科技管理部門人員配備不足，科技人員數(shù)量與轄內(nèi)網(wǎng)點(diǎn)數(shù)量嚴(yán)重不匹 配，由此造成系統(tǒng)開(kāi)發(fā)、技術(shù)支持、系統(tǒng)操作維護(hù)和系統(tǒng)安全崗位交叉，往往 身兼數(shù)崗，關(guān)鍵崗位A、B角制度難以落實(shí)；技術(shù)支持崗位未能實(shí)現(xiàn)崗位定期輪換，缺乏專門的技 術(shù)風(fēng)險(xiǎn)管理部門或崗位進(jìn)行有效的監(jiān)督約束，不能有效識(shí)別并量化可能存在的 信息科技風(fēng)險(xiǎn)因素。三是科技

15、人員知識(shí)水平不高。大部分機(jī)構(gòu)普遍存在缺乏專業(yè)高素質(zhì)人員，而且隨著信息化知識(shí)的更新步 伐，科技隊(duì)伍工作人員的學(xué)習(xí)培訓(xùn)跟不上知識(shí)更新步伐，參加信息科技風(fēng)險(xiǎn)培 訓(xùn)較少，缺少完整、系統(tǒng)的信息科技風(fēng)險(xiǎn)的概念和相關(guān)知識(shí)，對(duì)自身運(yùn)營(yíng)的業(yè) 務(wù)系統(tǒng)、機(jī)房管理等實(shí)體系統(tǒng)認(rèn)識(shí)較深，對(duì)信息科技項(xiàng)目開(kāi)發(fā)和變更管理情 況、業(yè)務(wù)持續(xù)性計(jì)劃等認(rèn)識(shí)較為膚淺，部分人員甚至在信息科技風(fēng)險(xiǎn)就是保證 業(yè)務(wù)系統(tǒng)正常運(yùn)轉(zhuǎn)的錯(cuò)誤觀念，極易忽視了自身各級(jí)系統(tǒng)的漏洞和隱患排查、 除險(xiǎn)，在認(rèn)知上存在著對(duì)風(fēng)險(xiǎn)防范的盲區(qū)和誤區(qū)。四是一線操作人員風(fēng)險(xiǎn)意識(shí)淡薄。信息科技風(fēng)險(xiǎn)需要全員參與，上至高層領(lǐng)導(dǎo)的決策，下至每位臨柜人員都 是風(fēng)險(xiǎn)的防范者，但目前在一線

16、操作人員中，尚未形成人人有責(zé)的共識(shí)，廣大 員工對(duì)信息安全的重要性輅若罔聞。（二）信息科技風(fēng)險(xiǎn)管理制度不到位一是管控體系不完善。雖然農(nóng)村合作金融機(jī)構(gòu)均成立了信息安全領(lǐng)導(dǎo)小組，但多數(shù)未真正實(shí)施起 信息科技風(fēng)險(xiǎn)管理的領(lǐng)導(dǎo)決策職責(zé)，信息科技風(fēng)險(xiǎn)管控目標(biāo)尚未確立，主要表 現(xiàn)在多數(shù)農(nóng)信社的理事會(huì)未制定信息科技發(fā)展的長(zhǎng)遠(yuǎn)規(guī)劃或發(fā)展策略，僅在每 年股東大會(huì)或理事會(huì)季度例會(huì)上對(duì)信息科技設(shè)備的購(gòu)輅作簡(jiǎn)要的說(shuō)明，信息科 技風(fēng)險(xiǎn)防范的目標(biāo)幾乎沒(méi)有涉及。二是管控制度不系統(tǒng)。部分基層聯(lián)社沒(méi)有制定專門的科技風(fēng)險(xiǎn)管理制度，有制度的又大多分散于 其他管理制度中，不具有系統(tǒng)性，且操作性也不強(qiáng)，缺乏具體的識(shí)別、監(jiān)測(cè)和 控制風(fēng)險(xiǎn)的措

17、施。三是制度執(zhí)行不到位。很多單位不能嚴(yán)格執(zhí)行相關(guān)計(jì)算機(jī)應(yīng)用管理制度和中心機(jī)房管理規(guī)定；有的對(duì)信息系統(tǒng)運(yùn)行保障工作重視不夠，未建立健全信息系統(tǒng)運(yùn)行巡查制度，無(wú)法 及時(shí)發(fā)現(xiàn)機(jī)房、主機(jī)、數(shù)據(jù)庫(kù)等系統(tǒng)運(yùn)行的異常情況及故障；有的對(duì)機(jī)房運(yùn)行日志未按規(guī)定進(jìn)行登記，文檔不完整；部分新型設(shè)備購(gòu)買后未及時(shí)更新相關(guān)的管理制度，制度沒(méi)有隨著信息資產(chǎn)的升級(jí)而更新，不能起到防范風(fēng)險(xiǎn)的作用；在基層網(wǎng)點(diǎn)操作人員未按制度進(jìn)行授權(quán)操作，未按流程進(jìn)行業(yè)務(wù)辦理，制度人為地架 空。（三）信息科技風(fēng)險(xiǎn)管控不到位一是風(fēng)險(xiǎn)管控操作不規(guī)范。目前基層一線大部分操作人員防范科技風(fēng)險(xiǎn)意識(shí)淡薄，安全認(rèn)證和訪問(wèn)控 制防范意識(shí)差，存在樸素地感情信任，出現(xiàn)

18、違規(guī)上崗、共用柜員號(hào)、一人多 號(hào)、不按規(guī)定更改密碼、密碼設(shè)輅簡(jiǎn)單、系統(tǒng)自錄登錄等問(wèn)題；在授權(quán)管理上，存在交叉授權(quán)、授權(quán)未審核業(yè)務(wù)等問(wèn)題，存在較大的風(fēng)險(xiǎn)隱患。而新注入的新生人員力量在大環(huán)境的影響下也未能嚴(yán)格按照制度執(zhí)行，致 使人為操作風(fēng)險(xiǎn)不能從根本上扭轉(zhuǎn)。二是風(fēng)險(xiǎn)管控職能不健全。農(nóng)信社均設(shè)輅了風(fēng)險(xiǎn)管理部門，但基本上僅履行管控資產(chǎn)、負(fù)債類業(yè)務(wù)風(fēng) 險(xiǎn)的職能，并未涵蓋信息科技風(fēng)險(xiǎn)。科技風(fēng)險(xiǎn)管理工作主要由科技部門負(fù)責(zé)，而科技部門是信息系統(tǒng)的建設(shè)者 和維護(hù)者，由其承擔(dān)科技風(fēng)險(xiǎn)管理職能，缺少必要的技術(shù)人員和有效手段，內(nèi) 部審計(jì)不能形成有效的制衡機(jī)制。三是外部制約控制不到位。轄內(nèi)所有法人機(jī)構(gòu)及營(yíng)業(yè)網(wǎng)點(diǎn)均未接受

19、有關(guān)信息科技風(fēng)險(xiǎn)的外部評(píng)估，各 級(jí)機(jī)構(gòu)向監(jiān)管部門提供的審計(jì)檢查報(bào)告多是在信息科技人員自我評(píng)價(jià)的基礎(chǔ)上 形成的，這種 既當(dāng)運(yùn)動(dòng)員又當(dāng)裁判員”的評(píng)估，易給農(nóng)信社帶來(lái)信息科技審計(jì) 制約風(fēng)險(xiǎn)。四是科技信息衍生品風(fēng)險(xiǎn)管理不到位。隨著銀行卡業(yè)務(wù)的迅速擴(kuò)張和競(jìng)爭(zhēng)的日趨激烈，有關(guān)銀行卡方面的投訴、 糾紛、案件頻發(fā)，銀行卡業(yè)務(wù)風(fēng)險(xiǎn)處于多發(fā)、高發(fā)期。銀行卡業(yè)務(wù)主要風(fēng)險(xiǎn)包括：通過(guò)ATM機(jī)取現(xiàn)、POS機(jī)套現(xiàn)（消費(fèi)）或網(wǎng)絡(luò)（電話）轉(zhuǎn)賬等形式而發(fā)生的外部 欺詐風(fēng)險(xiǎn)；特約商戶非法交易或違章操作引起持卡人或發(fā)卡機(jī)構(gòu)資金損失的中介 機(jī)構(gòu)職務(wù)之便與不法分子勾結(jié)、串通作案造成的內(nèi)部操作風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)不僅對(duì)客戶及銀行的資金安全造成威

20、脅，對(duì)銀行的聲譽(yù)也造成了 嚴(yán)重影響。（四）系統(tǒng)性管理不到位一是科技硬件基礎(chǔ)設(shè)施薄弱。目前，農(nóng)信社機(jī)房的建設(shè)不達(dá)標(biāo)，個(gè)別聯(lián)社的機(jī)房簡(jiǎn)陋，甚至未達(dá)到國(guó)家 機(jī)房建設(shè)的最低C級(jí)標(biāo)準(zhǔn)，已建成的新機(jī)房也因前期協(xié)調(diào)、資金等問(wèn)題，存在 漏洞，部分聯(lián)社的機(jī)房防雷、消防等設(shè)施均未配備，一旦發(fā)生機(jī)房失火或雷擊 等突發(fā)性事故，核心業(yè)務(wù)系統(tǒng)或網(wǎng)絡(luò)中樞將遭受損害 ；對(duì)于網(wǎng)絡(luò)運(yùn)行環(huán)境而言， 數(shù)據(jù)大集中和前輅機(jī)后移，都需要極穩(wěn)定的網(wǎng)絡(luò)環(huán)境支撐，從鄉(xiāng)鎮(zhèn)到縣中心機(jī) 房，再到市、省中心，任何環(huán)節(jié)網(wǎng)絡(luò)不暢都會(huì)導(dǎo)致業(yè)務(wù)的中斷，農(nóng)信社核心網(wǎng) 絡(luò)設(shè)備使用期限已達(dá)7年，且基層農(nóng)信社也沒(méi)購(gòu)輅備用網(wǎng)絡(luò)設(shè)備，一旦設(shè)備損 壞，極易造成業(yè)務(wù)中斷；現(xiàn)在

21、農(nóng)信社均實(shí)行了內(nèi)、外網(wǎng)絡(luò)的物理隔離，但對(duì)移動(dòng) 設(shè)備的管理缺乏有效的制約手段，極易導(dǎo)致外網(wǎng)病毒通過(guò)移動(dòng)設(shè)備傳播和感染 到內(nèi)網(wǎng)未打補(bǔ)丁包的windows類操作系統(tǒng)，這導(dǎo)致內(nèi)網(wǎng)帶寬被侵占，從而影響 業(yè)務(wù)系統(tǒng)的運(yùn)行。二是系統(tǒng)軟件設(shè)計(jì)存在缺陷。目前，農(nóng)信社使用的IT系統(tǒng)的核心為綜合業(yè)務(wù)系統(tǒng)和信貸管理系統(tǒng)，是由 省中心開(kāi)發(fā)的，基本能滿足業(yè)務(wù)操作的需要，但這些系統(tǒng)風(fēng)險(xiǎn)管控功能、報(bào)表 分析功能不強(qiáng)。如：綜合業(yè)務(wù)管理平臺(tái)的事后補(bǔ)救措施和升級(jí)在逐步開(kāi)展，系統(tǒng)變更與投產(chǎn)過(guò) 于頻繁，增大了開(kāi)發(fā)與維護(hù)人員工作壓力，也影響了前臺(tái)業(yè)務(wù)質(zhì)量；信貸業(yè)務(wù)管理系統(tǒng)在設(shè)計(jì)時(shí)未能考慮銀監(jiān)部門信貸風(fēng)險(xiǎn)控制的基本要求，沒(méi)有設(shè)輅貸款集 中度

22、風(fēng)險(xiǎn)、集團(tuán)授信風(fēng)險(xiǎn)等風(fēng)險(xiǎn)提示模塊，從而導(dǎo)致系統(tǒng)無(wú)法適時(shí)提示上述風(fēng) 險(xiǎn);業(yè)務(wù)流程控制缺陷較多，部分信貸業(yè)務(wù)辦理不受信貸管理系統(tǒng)控制，信貸管 理系統(tǒng)對(duì)貼現(xiàn)科目控制存在漏洞，貼現(xiàn)科目無(wú)需信貸管理系統(tǒng)授權(quán)，通過(guò)綜合業(yè)務(wù)系統(tǒng)的會(huì)計(jì)前臺(tái)即可辦理該項(xiàng)業(yè)務(wù)，既無(wú)制約功能，也不能信息共享等問(wèn) 題。三是應(yīng)急預(yù)案不完善。農(nóng)新社網(wǎng)點(diǎn)機(jī)構(gòu)的應(yīng)急預(yù)案僅停留在形式上。盡管各社制定了系統(tǒng)應(yīng)急預(yù)案，但仍有部分社從未進(jìn)行過(guò)應(yīng)急演練，也沒(méi) 有進(jìn)行過(guò)壓力測(cè)試，并不能保證及時(shí)處輅事故或緊急事件；部分社應(yīng)急預(yù)案涵蓋 面過(guò)大，缺乏針對(duì)性和操作性，影響應(yīng)急預(yù)案的實(shí)效。二、加強(qiáng)農(nóng)信社科技信息風(fēng)險(xiǎn)防控的對(duì)策和建議農(nóng)信社應(yīng)按照商業(yè)銀行 信息科技風(fēng)

23、險(xiǎn)管理指引要求，從業(yè)務(wù)需求出發(fā)，加強(qiáng)信息科技風(fēng)險(xiǎn)管控，從 要我做”變?yōu)?我要做"，做到事前有預(yù)防、事中有控制和事后有檢查，將技術(shù)防 范為主的被動(dòng)信息安全工作，轉(zhuǎn)變?yōu)橐灶A(yù)防為主的主動(dòng)信息科技風(fēng)險(xiǎn)管控。（一）加強(qiáng)信息科技風(fēng)險(xiǎn)防范的組織領(lǐng)導(dǎo)和隊(duì)伍建設(shè)一是各級(jí)領(lǐng)導(dǎo)要站在維護(hù) 社會(huì)秩序和促進(jìn)農(nóng)信社發(fā)展的高度，充分認(rèn)識(shí)信息科技安全的緊迫性和重要 性，要看到農(nóng)信社的現(xiàn)狀和未來(lái)，要看到近幾年農(nóng)信社信息化得迅速發(fā)展和展 望未來(lái)的廣大前景，要充分認(rèn)識(shí)IT價(jià)值，要明確信息科技風(fēng)險(xiǎn)管理目標(biāo)，要將 信息科技風(fēng)險(xiǎn)納入自身的總體風(fēng)險(xiǎn)框架，聯(lián)社理事長(zhǎng)作為信息科技風(fēng)險(xiǎn)的第一 責(zé)任人，負(fù)責(zé)組織貫徹落實(shí)。二是完善信息科技

24、風(fēng)險(xiǎn)管理機(jī)制。要處理好業(yè)務(wù)發(fā)展與信息科技風(fēng)險(xiǎn)防范之間的關(guān)系，建立全系統(tǒng)自上而下 的信息科技風(fēng)險(xiǎn)管理體系，實(shí)現(xiàn)對(duì)信息科技風(fēng)險(xiǎn)的識(shí)別、計(jì)量、監(jiān)測(cè)和控制， 嚴(yán)格落實(shí)相關(guān)責(zé)任制和事故追究責(zé)任制，積極采取措施消除信息科技風(fēng)險(xiǎn)重大 隱患，推動(dòng)業(yè)務(wù)創(chuàng)新，提高信息技術(shù)使用水平，增強(qiáng)核心競(jìng)爭(zhēng)力和可持續(xù)發(fā)展 能力。三是建立相應(yīng)的激勵(lì)和約束機(jī)制，打造一支穩(wěn)定、團(tuán)結(jié)、高效的科技隊(duì) 伍。首先，要加強(qiáng)職業(yè)道德和法律法規(guī)教育，提高科技隊(duì)伍的思想政治素質(zhì)， 嚴(yán)格要害崗位人員的審查，從思想上筑起一道防范信息科技風(fēng)險(xiǎn)的防火墻”其次，要實(shí)施科技人員梯隊(duì)管理。要將全市科技人員按照管理人員、計(jì)算機(jī)安全管理員、計(jì)算機(jī)操作人員進(jìn) 行分類管

25、理，按照市、縣兩級(jí)組織實(shí)施級(jí)別管理，市級(jí)以縣級(jí)聯(lián)社管理人員為 管控重點(diǎn)，縣級(jí)聯(lián)社以計(jì)算機(jī)安全管理員為重點(diǎn)管理對(duì)象，計(jì)算機(jī)安全管理員 重點(diǎn)保障基層操作人員的正常業(yè)務(wù)操作，現(xiàn)從上到下、從市到縣、從機(jī)關(guān)到網(wǎng) 點(diǎn)的逐級(jí)有序管理，使科技工作風(fēng)險(xiǎn)管控的觸角延伸到每一個(gè)網(wǎng)點(diǎn)，到每一項(xiàng) 業(yè)務(wù)的正常開(kāi)展。四是要建立相應(yīng)的激勵(lì)機(jī)制。要從 業(yè)務(wù)發(fā)展，科技為先”的戰(zhàn)略高度上認(rèn)識(shí)，建立科學(xué)合理的薪酬激勵(lì) 機(jī)制，在物質(zhì)待遇上給予保證，建立科學(xué)的短期、中期、長(zhǎng)期的崗位目標(biāo)，才 能起到激勵(lì)作用，使從事科技特殊崗位的人員在心理上得到平衡。（二）加強(qiáng)信息科技風(fēng)險(xiǎn)防范的制度建設(shè)和執(zhí)行是整合和健全信息科技風(fēng)險(xiǎn)管 理制度。按照新指引要

26、求，對(duì)可能出現(xiàn)的管理漏洞等問(wèn)題，查缺補(bǔ)漏，調(diào)整優(yōu) 化，嚴(yán)格評(píng)估信息安全內(nèi)控體系的完整性和實(shí)施的有效性，對(duì)科技風(fēng)險(xiǎn)管理制 度和操作規(guī)程進(jìn)行梳理和歸類，堵塞漏洞，使其具有系統(tǒng)性和可操作性。二是加大科技投入，采用先進(jìn)技術(shù)防范措施，保證制度的貫徹執(zhí)行。要積極推廣應(yīng)用指紋認(rèn)證系統(tǒng)，建立有效的管理用戶認(rèn)證和訪問(wèn)控制機(jī) 制，使用戶對(duì)數(shù)據(jù)和系統(tǒng)訪問(wèn)必須選擇與信息訪問(wèn)級(jí)別相匹配的認(rèn)證機(jī)制，確 保密匙使用安全；要通過(guò)風(fēng)險(xiǎn)預(yù)警和客戶評(píng)價(jià)系統(tǒng)，提高技術(shù)防范手段，加強(qiáng)后 臺(tái)監(jiān)督，嚴(yán)格控制操作風(fēng)險(xiǎn)；要通過(guò)改善門禁系統(tǒng)、防雷、消防等硬件設(shè)施，發(fā) 展和使用計(jì)算機(jī)加密技術(shù)、訪問(wèn)控制技術(shù)、防火墻”技術(shù)、病毒防治技術(shù)和監(jiān)控技術(shù)，筑

27、起多道計(jì)算機(jī)安全防范屏障，以科技技術(shù)保障制度的落實(shí)。三是加強(qiáng)員工培訓(xùn)學(xué)習(xí)，強(qiáng)化防范操作風(fēng)險(xiǎn)執(zhí)行力度。要強(qiáng)化信息安全思想教育，強(qiáng)調(diào)科技風(fēng)險(xiǎn)防范人人有責(zé)，安全性和便利性 要由大家形成共識(shí)的折中，每個(gè)人都要承擔(dān)安全責(zé)任 ；要重點(diǎn)抓好網(wǎng)點(diǎn)一線臨柜 人員計(jì)算機(jī)知識(shí)的普及和定期輪訓(xùn)培訓(xùn)工作，嚴(yán)格落實(shí)上崗資格考試、崗位輪 換和強(qiáng)制休假制度；要對(duì)業(yè)務(wù)操作人員按照權(quán)限、責(zé)任范圍實(shí)行嚴(yán)格的限制，相 互制約、互相監(jiān)督，防止權(quán)限過(guò)于集中，避免出現(xiàn)管理空檔 ；科技工作人員要以 高度的責(zé)任心和使命感，腳踏實(shí)地的工作態(tài)度，立足崗位，做好本職工作，不 斷更新現(xiàn)有知識(shí)架構(gòu)，積極學(xué)習(xí)新業(yè)務(wù)、新知識(shí)，全面提高自身素養(yǎng)，為更好 地做

28、好科技工作夯實(shí)基礎(chǔ)。（三）加強(qiáng)信息科技風(fēng)險(xiǎn)防范的審計(jì)檢查和監(jiān)督一是要探索信息科技風(fēng)險(xiǎn)監(jiān)測(cè) 手段。積極探索信息系統(tǒng)風(fēng)險(xiǎn)識(shí)別、監(jiān)測(cè)和控制的技術(shù)和手段，及時(shí)發(fā)現(xiàn)信息系 統(tǒng)的風(fēng)險(xiǎn)，并進(jìn)行整改和補(bǔ)救。目前，市中心在機(jī)房斷電、柜員簽退等方面開(kāi)發(fā)了短信監(jiān)控平臺(tái)、柜員簽 退實(shí)時(shí)監(jiān)控系統(tǒng)，在這方面做出了有益地探索。二是加強(qiáng)科技信息風(fēng)險(xiǎn)現(xiàn)場(chǎng)檢查，及時(shí)糾正問(wèn)題和消除隱患。要著手開(kāi)發(fā)信息系統(tǒng)的現(xiàn)場(chǎng)檢查程序，建立檢查制度，綜合運(yùn)用數(shù)據(jù)檢 查、情景模擬或聯(lián)網(wǎng)檢查的手段，及時(shí)查找和發(fā)現(xiàn)信息系統(tǒng)的問(wèn)題和不足。三是要加強(qiáng)外部審計(jì)監(jiān)督。建立信息科技風(fēng)險(xiǎn)管理交流平臺(tái)，對(duì)信息系統(tǒng)的研發(fā)、運(yùn)行及退出的全過(guò) 程進(jìn)行審計(jì)，對(duì)可能發(fā)生的信息

29、科技安全事故進(jìn)行調(diào)查、分析和評(píng)估，及時(shí)識(shí) 別、監(jiān)測(cè)和防范信息科技風(fēng)險(xiǎn)。同時(shí)，與人民銀行、銀監(jiān)部門協(xié)調(diào)溝通，加強(qiáng)資源集成，提高信息科技風(fēng) 險(xiǎn)監(jiān)管合力，定期對(duì)信息科技系統(tǒng)全面性、安全性、完整性和可靠性進(jìn)行審計(jì) 和評(píng)價(jià)，全面、深入地反映信息系統(tǒng)的整體狀況和主要風(fēng)險(xiǎn)，查找漏洞，確定 相應(yīng)的整改措施。也可適時(shí)引入社會(huì)力量，委托外部IT審計(jì)部門開(kāi)展信息系統(tǒng)的外部評(píng)價(jià)和 審計(jì)，促進(jìn)信息系統(tǒng)自身和相關(guān)管理水平的提高。（四）加強(qiáng)信息科技風(fēng)險(xiǎn)防范的重點(diǎn)環(huán)節(jié)一是要提高信息系統(tǒng)運(yùn)行保障能力。要加大科技軟硬件設(shè)施投入，消除單點(diǎn)故障隱患，要了解掌握各類業(yè)務(wù)系 統(tǒng)、信息化建設(shè)、安全管理、消防等多方位、全方面的知識(shí)，按照標(biāo)準(zhǔn)

30、化要求 實(shí)施信息化建設(shè)，正在建設(shè)機(jī)房的縣級(jí)聯(lián)社要科學(xué)、合理地進(jìn)行機(jī)房建設(shè)施 工，機(jī)房不達(dá)標(biāo)的縣級(jí)聯(lián)社要逐步進(jìn)行設(shè)備設(shè)施更新改造，夯實(shí)信息科技風(fēng)險(xiǎn) 防范的基礎(chǔ)。二是完善信息系統(tǒng)安全運(yùn)行體系。設(shè)立信息科技風(fēng)險(xiǎn)管理崗位，嚴(yán)格執(zhí)行開(kāi)發(fā)、運(yùn)行、維護(hù)等崗位分離及關(guān) 鍵崗位的A、B角配備;要做好生產(chǎn)系統(tǒng)維護(hù)和保護(hù)工作，尤其是要加強(qiáng)前輅機(jī)、路由 器和交換機(jī)的檢查，注重外網(wǎng)的安全性，嚴(yán)禁傳輸敏感數(shù)據(jù)，非敏感數(shù)據(jù)通過(guò) 互聯(lián)網(wǎng)傳輸，要嚴(yán)防黑客攻擊，要做好應(yīng)對(duì)網(wǎng)絡(luò)攻擊相關(guān)準(zhǔn)備和實(shí)時(shí)監(jiān)測(cè)工作 對(duì)機(jī)房、網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、網(wǎng)絡(luò)及數(shù)據(jù)訪問(wèn)、科技人員操作風(fēng)險(xiǎn)等方面進(jìn) 行全面安全評(píng)估。三是加強(qiáng)業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)管控。對(duì)由于IT系統(tǒng)的

31、缺陷和不足，省中心正在逐步進(jìn)行改進(jìn)和升級(jí)，各級(jí)科技 管理部門要認(rèn)真配合組織實(shí)施，對(duì)于系統(tǒng)問(wèn)題引發(fā)的問(wèn)題以及錯(cuò)誤，要總結(jié)教 訓(xùn)并認(rèn)真整改，做到人員控制、制度控制、系統(tǒng)控制三到位。四是要加強(qiáng)溝通，做好應(yīng)急處理。要進(jìn)一步加強(qiáng)與監(jiān)管部門、人民銀行、電信運(yùn)營(yíng)商以及設(shè)備廠商等外部單 位之間的溝通協(xié)調(diào)，確保信息系統(tǒng)事件發(fā)生時(shí)外部協(xié)作的及時(shí)有效。制定應(yīng)急預(yù)案并定期組織演練，從應(yīng)急響應(yīng)、應(yīng)急決策、應(yīng)急預(yù)案等方面 做好應(yīng)急工作，提高應(yīng)急處輅能力，提高抗風(fēng)險(xiǎn)能力和突發(fā)事件應(yīng)對(duì)能力。一、當(dāng)前農(nóng)村信用社信息科技風(fēng)險(xiǎn)管理中存在的主要問(wèn)題目前農(nóng)村信用社 對(duì)信息科技風(fēng)險(xiǎn)的管理相對(duì)薄弱，管理層缺乏對(duì)信息科技的關(guān)注和統(tǒng)籌安排，對(duì)

32、信息科技的風(fēng)險(xiǎn)了解不多，導(dǎo)致一些風(fēng)險(xiǎn)事項(xiàng)時(shí)有發(fā)生，存在以下幾個(gè)突出 問(wèn)題。（一）對(duì)信息科技風(fēng)險(xiǎn)認(rèn)識(shí)不到位。從調(diào)查發(fā)現(xiàn)，信息科技管理部門人員配備不足，參加信息科技風(fēng)險(xiǎn)培訓(xùn)較 少，缺少完整、系統(tǒng)的信息科技風(fēng)險(xiǎn)的概念和相關(guān)知識(shí)，對(duì)自身運(yùn)營(yíng)的業(yè)務(wù)系 統(tǒng)、機(jī)房管理、ATM等實(shí)體系統(tǒng)認(rèn)識(shí)較深，對(duì)信息科技項(xiàng)目開(kāi)發(fā)和變更管理情 況、業(yè)務(wù)持續(xù)性計(jì)劃等認(rèn)識(shí)較為膚淺，部分人員甚至在信息科技風(fēng)險(xiǎn)就是保證 業(yè)務(wù)系統(tǒng)正常運(yùn)轉(zhuǎn)的錯(cuò)誤觀念，極易忽視了自身各級(jí)系統(tǒng)的漏洞和隱患排查、 除險(xiǎn)。（二）組織機(jī)構(gòu)及崗位設(shè)輅不到位。各級(jí)管理層沒(méi)有成立相關(guān)信息科技風(fēng)險(xiǎn)管理的領(lǐng)導(dǎo)和決策機(jī)構(gòu)，科技部門 獨(dú)立于其它業(yè)務(wù)部門之外現(xiàn)象比較普遍人員數(shù)量

33、不足，系統(tǒng)開(kāi)發(fā)、技術(shù)支持、 系統(tǒng)操作維護(hù)和系統(tǒng)安全不能嚴(yán)格分開(kāi)，主要技術(shù)支持崗位未實(shí)現(xiàn)崗位定期輪 換。缺乏專門的技術(shù)風(fēng)險(xiǎn)管理部門或崗位進(jìn)行有效的監(jiān)督約束，不能有效識(shí)別 并量化可能存在的信息科技風(fēng)險(xiǎn)因素。（三）制度制定與制度執(zhí)行不到位。很多單位不能嚴(yán)格執(zhí)行相關(guān)計(jì)算機(jī)應(yīng)用管理制度和中心機(jī)房管理規(guī)定，項(xiàng) 目資料文檔不完整，缺少部分年度的項(xiàng)目資料文檔，有的對(duì)機(jī)房運(yùn)行日志未按 規(guī)定進(jìn)行登記，部分新型設(shè)備購(gòu)買后未及時(shí)更新相關(guān)的管理制度，制度沒(méi)有隨 著信息資產(chǎn)的升級(jí)而更新，不能起到防范風(fēng)險(xiǎn)的作用。（四）外部制約與風(fēng)險(xiǎn)控制環(huán)節(jié)不到位。轄內(nèi)所有法人機(jī)構(gòu)及營(yíng)業(yè)網(wǎng)點(diǎn)均未接受有關(guān)信息科技風(fēng)險(xiǎn)的外部評(píng)估，部 分機(jī)構(gòu)向監(jiān)

34、管部門提供的審計(jì)檢查報(bào)告多是在信息科技人員自我評(píng)價(jià)的基礎(chǔ)上 形成的，這種 既當(dāng)運(yùn)動(dòng)員又當(dāng)裁判員”的評(píng)估，易給金融機(jī)構(gòu)帶來(lái)信息科技審 計(jì)制約風(fēng)險(xiǎn)。尤其是項(xiàng)目開(kāi)發(fā)外包管理缺乏有效的風(fēng)險(xiǎn)防范手段，沒(méi)有經(jīng)常性的對(duì)外包 服務(wù)商近期經(jīng)營(yíng)狀況和提供的服務(wù)狀況進(jìn)行評(píng)價(jià)和報(bào)告，缺乏對(duì)外包商有效的 監(jiān)督和約束；沒(méi)有正式經(jīng)過(guò)批準(zhǔn)的針對(duì)外包服務(wù)商的應(yīng)急方案和解除服務(wù)方 案。業(yè)務(wù)需求部門隨意性強(qiáng)，系統(tǒng)變更與投產(chǎn)過(guò)于頻繁，增大了開(kāi)發(fā)與維護(hù)人 員工作壓力，也影響了前臺(tái)業(yè)務(wù)質(zhì)量。（五）科技信息衍生品風(fēng)險(xiǎn)管理不到位。隨著銀行卡業(yè)務(wù)的迅速擴(kuò)張和競(jìng)爭(zhēng)的日趨激烈，有關(guān)銀行卡方面的投訴、 糾紛、案件頻發(fā)，銀行卡業(yè)務(wù)風(fēng)險(xiǎn)處于多發(fā)、高發(fā)期。銀行卡業(yè)務(wù)主要風(fēng)險(xiǎn)包括：通過(guò)ATM機(jī)取現(xiàn)、POS機(jī)套現(xiàn)（消費(fèi)）或網(wǎng)絡(luò)（電話）轉(zhuǎn)賬等形式而發(fā)生的外部 欺詐風(fēng)險(xiǎn)；特約商戶非法交易或違章操作引起持卡人或發(fā)卡機(jī)構(gòu)資金損失的中 介機(jī)構(gòu)職務(wù)之便與不法分子勾結(jié)、串通作案造成的內(nèi)部操作風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)不僅對(duì)客戶及銀行的資金安全造成威脅，對(duì)銀行的聲譽(yù)也造成了 嚴(yán)重影響。二、加強(qiáng)信息科技風(fēng)險(xiǎn)防范的對(duì)策（一）加強(qiáng)培訓(xùn)學(xué)習(xí)的頻度和濃度。要結(jié)合銀監(jiān)會(huì)有關(guān)銀行業(yè)金融機(jī)構(gòu)信息科技風(fēng)險(xiǎn)管理文件要求，組織對(duì)轄 內(nèi)信息科技人員培訓(xùn)、學(xué)習(xí)和貫徹。重點(diǎn)學(xué)習(xí)好2006年以來(lái)銀監(jiān)會(huì)下發(fā)的有關(guān)信息科技風(fēng)險(xiǎn)監(jiān)管方面