村镇银行信息科技风险调查及风险防控措施初探

    截至2012年12月末，全国已有八百多家村镇银行开业，村镇银行成为我国农村金融的新亮点，成为各地区金融支持农村经济发展的生力军。但与此同时，信息科技建设及风险管理水平方面存在的诸多问题，让村镇银行在运行中面临巨大的风险。笔者以山东省菏泽市为例，从村镇银行信息科技风险监管的角度，结合村镇银行的特点，浅谈村镇银行的信息科技风险防控思路和重点。
    一、菏泽市辖内村镇银行系统建设基本情况
    菏泽辖内现开业有曹县中银富登、单县中银富登和鄄城包商三家村镇银行，自开业以来，各行业务发展迅速，规模不断扩大。
    鄄城包商村镇银行由包商银行控股并作为主发起人设立，该行采用主发起行建设的商业银行操作系统、报表系统和信贷系统。曹县和单县中银富登村镇银行由中国银行股份有限公司与富登集团公司联合出资设立，两家银行均采用主发起行建设的村镇银行核心业务系统、信贷管理系统、客户关系管理系统和总账系统。
    二、当前菏泽辖内村镇银行信息科技风险的主要表现
    由于三家村镇银行刚刚起步，虽然IT系统建设在不断改进和完善，但在科技风险管控方面还存在不少风险漏洞，主要表现在以下几个方面：
    （一）公司组织架构不完善。调研中发现，三家村镇银行均未设立科技部门，未配备科技专职人员，未将业务管理与信息科技风险管理职责分开，信息科技岗位设置不当、职责界限不清，专业技术水平和风险防范意识相对较低，管理的精细化程度亟待提升。同时，各村镇银行对科技战略与业务战略缺乏统筹协调，导致重复建设、信息分散、投资效率低、信息系统频繁变更等问题，给银行业务系统的安全可靠运行带来隐患。
    （二）未根据实际情况制定相应的信息科技规章制度。调研中发现，三家村镇银行目前都存在重业务发展、轻风险防范现象，信息科技制度建设不健全，从业人员科技风险意识淡薄。部分村镇银行不能因地制宜，只是将发起行的科技文件更改了一下机构名称，很多条款并不适用于村镇银行，也未以正式文件形式下发，未能制定系统应急预案。
    （三）机房建设硬件设施不达标。辖内三家村镇银行的营业场所属于租赁，机房建设受到房间布局限制，达不到银行机房建设基本标准，未安装消防系统和门禁系统，也未安装精密空调设备，存在较大安全隐患。机房视频监控探头未能对重点区域进行监视，操作区与办公区无隔离。
    （四）重要核心系统运行及维护不规范。部分村镇银行曾采用的核心业务信息系统过于老旧，系统独立运行，核心系统主机数据信息不能及时备份，备份后数据管理不规范。部分村镇银行存在内网业务用机接入互联网现象，内外网互通存在安全隐患。
    （五）业务连续性管理与应急能力相对薄弱。村镇银行自身的业务连续性建设动力不足，业务连续性管理水平较低。虽然成立了应急团队，却未能发挥应有作用；应急预案关键风险点覆盖不够，缺乏持续改进机制，有的应急预案过于简单，可操作性较差，个别村镇银行照抄照搬发起行的应急预案，甚至出现“张冠李戴”现象；应急演练仍然局限于信息科技部门，业务部门、风险管理部门参与不够，业务与科技条线的协同不足。
    （六）业务外包依赖度高、外包管控能力较弱。通过调研发现，辖区各村镇银行均有不同程度和范围的外包业务。部分村镇银行对外包风险的防控意识较差，措施不够到位；部分村镇银行手头没有外包合同，不知悉自己的权利和义务；部分村镇银行缺少专职科技人员，系统维护工作完全依赖于第三方外包公司。
    三、关于村镇银行信息科技风险防控措施的初步探讨
    （一）提高对村镇银行信息科技风险重视度，把好准入关。一是监管部门应尽快根据村镇银行的规模和特点，制定和发布适用村镇银行的信息科技建设与管理指引或规范性文件，提高村镇银行信息科技建设和管理水平。二是把信息科技建设纳入村镇银行市场准入的考核范围，IT系统建设达不到最低标准的应暂缓准入。
    （二）增强危机意识和责任意识，筑牢“三道防线”。各家村镇银行要不断增强信息科技风险防控的紧迫感和责任感，突出业务连续、系统安全和外包这三个方面的风险防控重点，筑牢信息科技管理、信息科技风险管理、信息科技审计“三道防线”，保证做到管理有制度，操作有流程，风险可控制。
    （三）依据自身情况选择合理的运维模式。目前村镇银行信息科技管理模式存在版权不明晰，通信费和专线费昂贵，过度依赖外包厂商服务稳定性（如Software-as-a-serviceIT外包服务模式）等多种问题。因此建议村镇银行应根据自身情况选择合理的运维模式，对村镇银行采用自主管理模式多的地区也可参考“城商行联盟”的发展模式，建立区域性的“村镇银行联盟”，集中各会员机构的资金，统一对核心信息系统、外围系统、中间业务系统等的开发、建设和运维，并由联盟统一建立数据中心及灾备中心。
    （四）加强自身科技队伍建设，严防外包风险。各村镇银行要加强自身科技队伍建设，根据业务发展需要配备足够的科技技术专业人员；设立信息科技管理部门，对本行外包业务进行梳理，制定并完善严密的外包管理制度和保密制度；加强与主发起行的联系，获取相关外包合同，落实各方责任。
    （五）建立健全信息科技方面的规章制度。各村镇银行应根据本行实际情况，并结合银监会监管文件要求，按照制度先行的原则，建立健全信息科技方面的规章制度，并制定详细实用的信息系统应急预案，对核心系统及重点岗位实行权限最小化原则，各个系统管理员及操作员之间相互制约，杜绝“一手清”等严重的风险漏洞。
    （六）加强教育培训，提高全员信息科技风险防控水平。管理层应定期开展全员信息科技及风险防范知识的培训教育，定期进行信息科技应急演练，提高员工防范信息科技风险的水平，培养全员对信息系统突发事件的应急反应能力。
    （七）加强对村镇银行信息科技风险的监管。监管部门要高度重视村镇银行面临的科技风险，在监管措施上要与其他风险同安排、同部署，不断加大对村镇银行信息科技风险的检查力度，及时发现风险点，及时进行风险提示并督促整改。