忘我之境 发表于 2011-8-17 10:24:00

农信社信息科技风险分析与防范对策二

作者:李东卫    来源:中国信合网(四)信息科技系统软件设计存在缺陷
一是主要业务系统设计不完善。目前,农信社使用的IT系统的核心为综合业务系统和信贷业务管理系统,这是由各省农村信用社联合社开发的,基本能满足业务操作的需要,但这些系统风险管控功能、报表分析功能不强,反映了系统设计前瞻性不够,上线前测试不充分,事后补救措施不到位。如信贷业务管理系统在设计时未能考虑银监会信贷风险控制的基本要求,没有设置贷款集中度风险、集团授信风险等风险提示模块,从而导致系统无法适时提示上述风险。又如系统信贷管理报表模块设计不科学,无贷款余额汇总功能,信贷管理人员无法通过该系统适时进行数据分析、风险判断。
二是业务流程控制缺陷较多。部分信贷业务办理不受信贷管理系统控制。诸如,信贷管理系统对贴现科目控制存在漏洞,贴现科目无需信贷管理系统授权,通过综合业务系统的会计前台即可办理该项业务,既无制约功能,也不能信息共享;系统工作日志设置、登录不全,对日常错误无任何日志记录或记录不全,个别机构记录系统情况时,上午即将全天情况登记完毕,反映了农信社对信息系统流程控制不严,管理不到位;原单机储蓄系统上的活期存折在新系统上销户,必须更换新存折才能完全销户,造成不必要的凭证浪费;欠发达农村地区农信社部分网点试行开通的代理业务功能不全,多数只开通了退耕还林、粮食直补、移民补贴、大学生村官工资、乡政经费和农民低保等业务,不能办理代收话费、水电费和代理保险等中间业务。
农信社科技信息风险防控建议
农信社应借鉴先进商业银行的良好做法和国际标准,从业务需求出发,在组织机构、人员、技术和流程四个方面加强信息科技风险管控,研究建立信息科技风险管控体系,做到事前有预防、事中有控制和事后有检查,将技术防范为主的被动信息安全工作,转变为以预防为主的主动信息科技风险管控。
(一)加强信息科技风险工作的组织领导
一是明确信息科技风险管理目标。农信社理事会、监事会和管理层要对本社信息科技风险负责,建立全系统自上而下的信息科技风险管控体系,落实信息科技风险管理和防范责任,内外合力,齐抓共管,处理好业务发展与信息科技风险防范之间的关系,加大对信息科技的投入,积极采取措施消除信息科技风险重大隐患。同时,应遵循国家信息技术安全标准和新《指引》的要求,结合自身特点制定科技风险管理目标,确定所采用的安全技术和制定风险管理分步实施方案。
二是完善信息科技风险管理机制。农信社要将信息科技风险纳入自身的总体风险框架,有条件的机构应设立信息科技风险管理部门,不具备条件的可授权风险管理部门履行信息科技风险管理职责,对科技操作和科技风险管理岗位进行分设,进行合理授权,形成有效的监督制约机制。
三是整合信息科技风险管理制度。对科技风险管理制度和操作规程进行梳理和归类,使其具有系统性和可操作性。
四是探索信息科技风险监测手段。积极探索信息系统风险识别、监测和控制的技术和手段,及时发现信息系统的风险,并进行整改和补救。
五是开展信息科技风险审计。内部审计部门应配备熟悉科技工作的专业人员,根据银监会《信息科技风险评价审计要点》定期对信息科技系统全面性、安全性、完整性和可靠性进行审计和自我评价,全面、深入地反映信息系统的整体状况和主要风险,查找漏洞,确定相应的整改措施。
(二)加强信息科技重点环节的风险防范
一是要提高信息系统运行保障能力。加大科技软硬件设施投入,消除单点故障隐患。完善各项管理制度,制订应急预案并组织演练,提高抗风险能力和突发事件应对能力。
二是完善信息系统安全运行体系。对机房、网络设备、主机设备、网络及数据访问、科技人员操作风险等方面进行全面安全评估。设立信息科技风险管理部门及岗位,严格执行开发、运行、维护等岗位分离及关键岗位的A、B角配备,完善相关管理制度。
三是加强项目外包风险管理。对外包公司的规模、技术水平、业务保障能力、保密等进行全面评估,在外包合同中明确要求外包公司提供系统核心源代码及相关信息。尽快提高农信社科技人员核心业务系统自主开发和系统安全策略自主配置的能力。
四是加强业务系统风险管控。对由于IT系统的缺陷和不足引发的案件,要总结教训并认真整改,做到人员控制、制度控制、系统控制三到位。
(三)加强信息科技风险监管
一是监管部门要迅速探索建立农信社信息资产风险监管标准体系,着重解决农信社信息资产风险评估与定价标准,按业务系统性质及其隐形资产价值、网络运行特性以及运营商素质等方面内容,科学划分信息资产风险级别与管理要求。

it168 发表于 2011-8-18 19:16:00

支持
页: [1]
查看完整版本: 农信社信息科技风险分析与防范对策二