• 快捷搜索
  • 全站搜索
位置:首页 > 管理 > 风险管理

宁夏中小银行信息科技发展的问题及策略

2013-09-04 10:54:14作者:中国人民银行吴忠市中心支行 程卫东编辑:
中小银行、 风险管理
宁夏中小银行在信息化建设方面由于起步较晚、技术力量薄弱,且数据中心都集中在本地等特点,制约着信息科技发展。

近年来,随着地方银行业的竞争加剧,各中小银行开始走出本地市场,不断拓其展服务领域与地域。在人民银行的大力督导下,宁夏辖区内各地方中小银行逐步加大信息化建设投资力度、大力更新科技系统、采用新的电子服务手段与经营管理模式,使得信息科技治理、信息系统基础建设和运行管理取得了一定的进展,发展速度有了很大的提高。但是在现场检查和调研中发现,其业务系统建设、应急管理和网络安全等信息科技风险方面仍存在许多问题,与业务的快速发展不相匹配。

        宁夏中小银行在信息化建设方面由于起步较晚、技术力量薄弱,且数据中心都集中在本地等特点,制约着信息科技发展;笔者针对风险管理架构尚不完善、信息系统基础建设缺陷、信息系统风险控制能力不足等问题,提出提升风险意识和管控能力、强化基础建设、建立合理的科技梯队等建议。

一、信息科技风险管理问题

        1.信息科技风险管理架构尚不完善
        一是发展目标不明。部分地方中小法人银行至今未制定信息化建设中长期发展规划或者发展策略,导致信息科技建设滞后于业务的发展或亦步亦趋,信息科技各项建设工作没有从整体考虑,并应用系统体系生命周期、网络安全、风险管理等关键技术问题,不能从当今信息产业发展的趋势去规划自己的未来。

        二是是信息科技运维和风险管理职责未有效分离。地方中小法人银行均未设立相对独立的信息科技风险管理部门或专门岗位,信息科技部门独立运作,集运行维护、风险管理、科技审计于一身,缺乏有效约束。

        三是决策、监督机制缺失。信息科技管理委员会活跃度偏低,发挥作用有限;管理层面履行信息科技风险管理职责的能力明显不足;内审部门也缺少专业的工作人员,现有员工对信息科技风险表现及管控的手段了解不够,普遍不具备信息科技风险审计的能力。

        2.信息系统基础建设尚存缺陷
        一是数据灾备中心缺失。除宁夏银行已建立异地数据灾备中心并进行过切换演练之外,辖区内其他中小法人银行至今未建立数据灾备中心,虽已提上建设议程,但推进不力,进展缓慢。

        二是电子银行存在信息安全隐患。辖区内中小法人银行的网上银行系统的设置、权限管理、冻结挂失等操作存在安全性隐患。安全措施及技术手段不全面,网站容易遭不法分子域名的劫持与攻击、中间人攻击、SQL命令注入攻击、加挂木马病毒攻击及页面篡改等恶意攻击行为,客户信息和账户密码信息安全难以保障。

        三是核心业务系统设计尚不完善。辖区内中小法人银行缺乏必要的前台业务交易数据修改程序和操作界面,导致部分应由前台业务人员进行查询和修改的账务数据需要后台系统管理员直接对核心生产数据库进行修改,增大了操作风险和道德风险的隐患;系统设计的耦合性较高,严重影响了系统的升级和优化;部分地方法人银行科技部门在晚问进行业务批处理操作时,银行卡业务要被迫中断l~2小时,无法做到银行卡业务7×24小时服务,无法很好地满足现有客户的需求。

        3.信息系统风险控制能力不足
        一是系统开发风险防范能力不足。由于人力资源紧张,开发能力不足,地方法人银行的信息系统项目开发,特别是核心系统的开发都是通过外包形式完成。但在项目实施过程中,对外包公司缺乏有效监管,大量系统核心源代码、关键配置信息被外包公司所掌握,核心系统安全缺乏保障。同时,辖区内中小法人银行的系统开发管理经验不足,不能有效地组织其业务部门和IT人员进行有效沟通,需求整合和需求质量不高,对项目开发质量缺乏有效控制,形成软件质量难以保障。系统上线前未真正开展过全面的功能测试和压力测试,系统投产后也未组织评价工作,随着业务规模的扩大和业务量的增加,现有核心业务系统的响应能力和处理能力到底如何,尚不了解。

        二是系统安全防范能力不足。区内中小法人银行的整体安全意识仍然薄弱,安全制度落不到实处。虽然在科技部门内部设置信息安全管理岗,但未设立专门履行信息安全管理职责的机构,无法保障信息安全工作的有效性和安全措施的全面落实。重要系统角色设置未严格按管理制度执行,角色之间不能形成有效的安全制约机制。安全管理不到位,信息化基础设施设置存在不同程度的安全隐患。安全制度执行不力,重要业务系统管理员未能严格执行口令分段管理和定期更换密码的规定。

        三是应对突发事件能力不足。各地方法人银行的应急管理仅限于部门和技术层面,应急内容没有覆盖各个层面,关键点应急缺乏演练,应急预案部分内容滞后,可操作性不强,如客户服务中心应急角色没有纳入预案;机房应急预案没有覆盖事件发生后的人员撤离机制,机房没有配备防毒面具等消防逃生装备;机房值班人员没有进行过必要的应急培训,缺乏应对突发事件的处理能力。

二、原因分析

        1.信息科技治理虽得到关注,但对其认识仍有偏颇
        近年来在监管部门的强力宣传和督导下,同时出于自身业务快速发展的需求,地方中小法人银行高级管理层和董事会大多开始关注信息科技的发展,但调研中发现,高级管理层和董事会对信息科技风险治理的认识还存在一定误区。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章

频道最近更新

频道热门文章