信息科技风险管理中存在的困难及问题
一、主要工作开展情况
近年来,省联社按照《商业银行信息科技风险监管指引》和《商业银行业务连续性监管指引》要求,认真开展信息科技风险管理工作。一是制定《某某省农村信用社信息科技非现场监管报表填报实施细则》,组织信息科技非现场监管报表报送工作。二是制定了《某某省农村信用社信息科技风险管理政策》,进一步明确了省联社信息科技风险管理的组织架构以及科技、风险、审计“三道防线”的职责分工,建立了信息科技风险报告制度,明确了信息科技管理面临的主要风险类型和总体策略,并分别制定了信息分级与保护策略、人员安全策略、访问控制策略、信息系统开发测试和维护策略、信息科技运行维护策略、数据安全管理策略、物理安全策略、业务连续性管理策略、信息科技外包管理策略等9个具体风险管理策略,对信息科技风险识别、计量、监测提出了具体要求。三是组织实施业务连续性管理。制定《某某省农村信用社联合社业务连续性管理工作贯彻落实方案》,成立业务连续性管理委员会及相关组织机构,分解细化业务连续性管理工作目标任务,统筹协调、落实业务连续性各项管理职责,组织有关部门开展业务影响分析,制定业务连续性计划,完善相关应急预案。
二、存在困难及不足
近年来,信息科技风险管理及信息科技建设工作总体上有了一定进步,但由于我省农村信用社基础较为薄弱,信息科技管理水平仍然较为滞后,信息科技风险管理仍处于起步阶段,信息科技风险管理工作仍然存在很多困难和不足。
(一)风险管理意识不强,部门参与不足。各相关部门全面风险管理意识仍然不强,对风险管理工作认识较为片面,习惯把风险管理工作等同于风险管理部门的工作,从而导致职责边界不清,部门协调困难,相关部门风险管理参与不足,科技、风险、稽核三道防线未能有效发挥作用。
(二)信息科技专业性较强,风险管理切入困难。根据银监会《商业银行信息科技风险监管指引》及《某某省银行业信息科技治理之道意见(三道防线)》要求,信息科技风险管理部门应组织开展信息科技风险管理工作,督促有关部门落实信息科技风险管理有关政策制度等。但在实际贯彻落实中,由于信息科技风险管理技术含量高、专业性强,难度大,地方金融机构自身科技力量不足,信息科技风险管理意识不强,导致信息科技风险管理难以深入推进。
(三)受信息不对称影响,对先进的信息科技管理理念及专业知识难以及时掌握。由于我省农信社属于西部不发达地区的地方金融机构,对国际国内先进的信息科技风险管理理念知识难以及时了解和掌握,也没有有效的途径系统深入学习信息科技风险管理的相关专业知识,目前虽然开展了一些工作,但总体上工作仍然处于起步阶段,对专业的风险计
量、监测和评估方法、流程没有充分掌握运用,业务影响分析及业务连续性计划制定仍然较为粗浅。
三、建议
(一)针对地方性金融机构信息科技风险管理处于起步阶段的实际,加大信息科技风险管理培训力度,使地方金融机构掌握信息科技风险管理政策、方法和流程,填补信息科技风险管理空白。
(二)加大指导力度,针对发现问题,重点加强指导,使地方金融机构的经营管理逐步达到监管要求。
(三)推荐其他金融机构先进的信息科技风险管理方法和手段供农村信用社学习参考,不断提高人员信息科技风险管理意识和水平。
