第一篇:南京银行信息科技风险管理政策
南京银行股份有限公司信息科技风险管理政策
第一章 总则
第一条 为进一步完善南京银行股份有限公司(以下简称“本行”)全面风险管
理体系,保证本行业务的可持续发展,依据中国银行业监督管理委员会《商业银行
信息科技风险管理指引》并结合本行实际,制定本政策。
第二条 本政策所称信息科技风险是指本行在运用信息科技过程中,由于自然
因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第三条 本行信息科技风险政策取向是:稳健。实行规避、预防、缓释、抵补
等管理策略。
第四条 本行通过搭建科学的风险管理组织架构、划分明确的风险管理职责、制定有效的风险管理制度和操作流程等措施,持续推动信息科技风险管理工作的开
展。
第五条 本行信息科技风险管理的管理原则是:全员参与、协调统一、预防为
主、动态管理。
第六条 本行信息科技风险的管理目标是通过建立完整、合理、有效的风险管
理机制,实现对信息科技风险的识别、评估、计量、监测和控制,促进本行安全、持续、稳健运行,推动业务创新,提高本行信息技术使用水平,增强核心竞争力和
可持续发展能力。
第二章 信息科技风险的组织架构和职责
第七条 本行建立与信息科技风险特点相适应的组织架构,包括董事会、董事会
风险管理委员会、高级管理层。
第八条 董事会承担本行信息科技风险管理的最终职责。具体职责包括:
(一)建立并完善分工合理、职责明确、相互制衡、报告关系清晰的信息科技
治理组织结构;
(二)审查批准信息科技战略,确保其与本行的总体业务战略和重大策略相一
致;
(三)动态掌握信息科技风险政策和信息科技战略规划的执行情况、信息科技
预算和实际支出情况及信息科技的整体状况;
(四)定期听取专门委员会工作事项的执行情况。2 第九条 董事会授权风险管理委员会行使以下职责:
(一)依据本行信息科技战略,制定信息科技风险管理政策;
(二)监督高级管理层制定具体有效的信息科技风险管理制度和操作流程;
(三)按年度听取高级管理层的信息科技风险监测报告,评估信息科技风险管
理工作的总体效果和效率并提出完善的建议和意见;
(四)配合银监会及其派出机构做好信息科技风险监督检查工作,及时决策本
行发生的重大信息科技事故或突发事件,向银监会及其派出机构报送信息科技风险
管理的年度报告;
(五)确保内外部审计部门独立有效的进行信息科技风险审计,并确认审计报
告;
(六)履行董事会授权的其他信息科技风险管理职能。
第十条 高级管理层行使以下职责:
(一)负责执行本行信息科技风险政策和发展战略;
(二)制定具体的信息科技风险管理制度及具体的操作流程,确定可接受的信
息科技风险级别,确保境内外信息科技风险能够被识别、评估、计量、监测和控制,统一协调各经营部门有效开展信息科技风险管理工作;
(三)确保本行信息科技系统正常运行,有效防范跨境风险;
(四)规范职业道德行为和廉洁标准,增强内部企业文化建设,提高全体人员
对信息科技风险管理重要性的认识;
(五)组织专业培训,加强信息科技专业队伍的建设,建立人才激励机制;
(六)对董事会风险管理委员会确认的信息科技风险内外部审计报告,落实具
体的整改措施;
(七)配合银监会及其派出机构做好信息科技风险监督检查工作,并落实整改
措施,及时向银监会及其派出机构报告本行发生的重大信息科技事故或突发事件,并按相关预案快速响应;
(八)其他信息科技风险的管理职能。
第三章 信息科技风险管理的内容
第十一条 本行信息科技风险管理的内容包括但不限于:信息安全管理、信息系
统开发、测试和维护管理、信息科技运行管理、业务连续性管理和外包管理等方面。
第十二条 本行通过制定各类有效的信息科技管理制度,优化风险管理流程,提3 高制度约束的执行力水平,不断完善信息安全管理机制,最终实现信息的持续安全
管理。
第十三条 本行在信息系统开发中,采取适当的系统开发方法,充分评估信息科
技项目风险,合理安排信息科技项目的排序、立项、审批和控制;在测试和维护中,强化数据的完整性、保密性和可用性,确保系统的可靠性、完整性和可维护性,合理控制信息系统的生命周期。
第十四条 本行在信息系统运行过程中,实施必要的隔离措施,建立应急的信息
系统运行事故管理机制。
第十五条 本行在业务连续性管理过程中,通过制定适当的业务连续性规划,确
保信息系统在无法预见的中断时能够有效的运行。
第十六条 本行实施重要信息科技外包(如数据中心和信息科技基础设施等)时,坚持谨慎原则,经必要的分析、论证和审查程序,不得将信息科技管理责任外包;
适时谨慎的履行监督外包职能;在外包管理过程中,确保本行的客户资料等敏感信
息的安全。
第四章 信息科技风险管理的程序
第十七条 高级管理层按年度向董事会风险管理委员会出具本行信息科技风险
管理书面监测报告,详细说明信息科技风险管理情况和下一步完善措施。
第十八条 对本行重大的信息科技风险事件,在第一时间向董事会风险管理委员
会和监管部门报告。
第十九条 对监管部门现场检查和内外部审计机构审计中发现的问题,落实整改
措施并及时向董事会风险管理委员会报告。
第五章 考核与奖惩
第二十条 本行董事会将信息科技风险年度管理情况纳入到对董事、高级管理层的年度履职考核中。
第二十一条 高级管理层通过建立科学的信息科技风险管理问责制度,将信息科
技风险管理的考核指标纳入全面风险管理考核体系,以推动业务发展质量的全面提
升。
第六章 附则
第二十二条 本政策由南京银行股份有限公司董事会风险管理委员会负责解释。
第二十三条 本办法自董事会批准之日起执行。
第二篇:南京银行:流动性风险管理政策
南京银行:流动性风险管理政策(修订)
2009-12-19 来源:上海证券报 进入论坛
南京银行股份有限公司流动性风险管理政策(修订)第一章 总 则
第一条 为进一步健全南京银行股份有限公司(以下简称“本行”)流动性风险管理体制和机制,完善全面风险管理体系,保证本行各项业务的可持续发展,依据中国银行业监督管理委员会《商业银行流动性风险管理指引》、《商业银行风险监管核心指标(试行)》并结合本行实际,制定本政策。
第二条 本政策所指流动性风险是指商业银行虽然有清偿能力,但无法及时获得充足资金或无法以合理成本及时获得充足资金以应对资产增长或支付到期债务的风险。流动性风险可以分为融资流动性风险和市场流动性风险。
融资流动性风险是指商业银行在不影响日常经营或财务状况的情况下,无法及时有效满足资金需求的风险。
市场流动性风险是指由于市场深度不足或市场动荡,商业银行无法以合理的市场价格出售资产以获得资金的风险。
第三条 流动性风险管理是指识别、计量、监测和控制流动性风险的全过程。
第四条 流动性风险的管理原则是:全员参与、动态预防、科学量化、审慎管理,确保本行无论在正常经营环境中还是在压力状态下,都有充足的资金应对资产的增长和到期债务的支付。第五条 本行流动性风险管理政策的取向是:稳健。即在满足监管要求的基础上,适当平衡收益水平和流动性水平,保持适度流动性,将流动性风险控制在本行可以承受的合理范围之内,确保本行的安全运营和良好的公众形象。
第六条 本行流动性风险管理的目标是通过建立适时、合理、有效的流动性风险管理机制,实现对流动性风险的识别、计量、监测和控制,将流动性风险控制在本行可以承受的范围之内,以推动本行的持续、健康运行。
第七条 本行通过建立科学的风险管理组织架构,划分明确的风险管理职责、制定有效的风险管理策略、程序和制度,强化考核监督,持续推动流动性风险管2理工作的开展。第二章 流动性风险的组织架构和职责
第八条本行建立与流动性风险特点相适应的组织架构,包括董事会、董事 会风险管理委员会、高级管理层。
第九条董事会承担流动性风险管理的最终职责。具体包括:
(一)审核批准本行的流动性风险管理体系和重要政策;
(二)监督高级管理层在风险管理体系内对流动性风险进行适当管理和控制;
(三)对本行流动性风险管理信息系统的完整性、准确性和有效性承担最终责任;
(四)决定与流动性风险相关的信息披露内容;
(五)审核批准本行流动性风险承受能力、流动性风险管理策略与程序、流动性风险限额和流动性风险应急计划,并根据风险管理需要及时对以上内容进行审议修订,审议修订工作至少每年一次;
(六)持续关注流动性风险状况,定期获得关于流动性风险水平和相关压力测试的报告,及时了解流动性风险的重大变化和潜在转变;
(七)根据内部审计的结果,督促高级管理层针对内部审计发现的问题采取及时有效的整改措施,并适时调整和完善有关流动性风险管理的策略和程序;
(八)授权并听取董事会风险管理委员会开展流动性风险管理的相关工作;
(九)法律、法规规定的其他职责。
第十条 高级管理层负责流动性风险的具体管理工作,应履行以下职责:3
(一)根据本行的总体发展战略测算流动性风险承受能力,并提请董事会风 险管理委员会审批;根据总体发展战略及内外部经营环境的变化及时提出对流动 性风险承受能力修订的建议,并提请董事会风险管理委员会审议;
(二)根据董事会风险管理委员会批准的流动性风险承受能力,制定流动性 风险管理策略、程序、限额,其中重要的策略、程序和限额需提请董事会风险管 理委员会审批后执行;
(三)根据董事会风险管理委员会批准的流动性风险管理策略、程序和限额,对流动性风险进行管理,制定并监督执行有关流动性风险管理的内部控制制度;
(四)充分了解并定期评估本行流动性风险水平及管理状况,向董事会风险
管理委员会定期汇报本行流动性风险状况,及时汇报流动性风险的重大变化或潜在转变;
(五)建立完善的管理信息系统,以支持流动性风险的识别、计量、监测和控制工作;
(六)根据董事会和董事会风险管理委员会批准的相关政策、策略和程序,组织实施压力测试和情景分析,并定期将测试结果向董事会风险管理委员会汇 报,推动压力测试成果在战略决策和风险管理中的应用;
(七)制定流动性风险应急计划,并提请董事会风险管理委员会审批;
(八)识别并了解可能触发应急计划的事件,并建立适当机制对这些触发事件进行监测;
(九)定期对流动性风险的管理进行内部审计,并对审计提出的整改措施实 施情况进行后续审计,并及时向董事会风险管理委员会提交审计报告;
(十)指定专门人员或部门负责流动性风险管理工作,负责流动性风险管理的部门应当职责明确,并建立完善的报告制度;流动性风险管理部门和人员应保持相对独立性,特别是独立于从事资金交易的部门;4
(十一)法律、法规规定的其他职责。
第三章 流动性风险管理的内容第十一条 本行在根据发展战略、业务特点和风险偏好测定自身流动性风险承受能力的基础上,确定流动性风险管理的策略与程序、模式、方法与技术、限额、监测频度、内部控制、内部审计、信息系统、信息披露等风险管理内容。
第十二条 从持续、前瞻的角度制定书面的流动性风险管理策略和程序,并在综合考虑业务发展、技术更新及市场变化等因素的基础上及时对流动性风险管理策略和程序进行评估和修订。评估和修订工作最少每年进行一次。
流动性风险管理策略和程序应涵盖本行的表内外各项业务,以及所有可能对流动性风险产生重大影响的业务部门、分支机构,并包括正常情况和压力状况下的流动性风险管理。第十三条 本行根据不同发展阶段的业务规模和复杂程度选择流动性风险管理模式,管理模式可以是集中、分散或二者相结合。无论采用何种管理模式,都应确保对总体流动性风险水平和各分支机构、各业务条线流动性水平进行有效识别、计量、监测和控制,并确保遵守各有关流动性风险监管要求。
第十四条 流动性风险管理的方法和技术应该体现在资产与负债管理、现金流量管理、压力测试、应急计划、限额管理、信息系统等方面,并形成有效的管理制度。
第十五条 本行根据监管要求和内部流动性风险管理政策设定流动性风险限额,并根据限额的性质确定相应的监测频度。
第十六条 本行通过建立完善有效的流动性风险管理内部控制体系、制定适当的流动性风险管理内部控制制度,确保流动性风险管理程序的完整和有效。5第十七条 本行将流动性风险管理纳入内部审计的范畴,定期审查和评价流动性风险管理体系的充分性和有效性。内部审计应涵盖流动性风险管理的所有环节。
第十八条 本行通过建立完善的管理信息系统,准确、及时、持续地计量、监测、管控和汇报流动性风险状况。管理信息系统应能确保董事会、高级管理层 及相关部门适时了解有关流动性风险管理的事项。
本行在引入新产品、新技术手段,建立新机构、新业务部门前,在可行性研究中充分评估其对流动性风险产生的影响,并制定相应风险管理措施,完善内部控制和信息管理系统。引入并运行后,加强日常监测,定期评估相应措施的有效性,并根据需要及时进行调整。第十九条 本行按照监管要求定期披露流动性风险管理情况,在出现流动性危机时,适时披露相关情况说明以提高交易对手、客户及公众的信心,最大限度地减少信息不对称可能给本行带来的不利影响。
第四章 流动性风险管理的程序
第二十条高级管理层按季度向董事会风险管理委员会提交本行流动性风险 管理书面监测报告,详细说明风险管理情况和下一步完善措施。
第二十一条 对本行发生的重大流动性风险事件,高级管理层应及时启动应 急计划,并在第一时间向董事会风险管理委员会和监管部门报告。第二十二条 内部审计部门定期对流动性风险进行内部审计,审计结果直接 向董事会风险管理委员会报告;对监管部门现场检查和内外部审计机构审计中发 现的问题,在高级管理层落实整改措施后,及时向董事会风险管理委员会报告。第五章 考核与奖惩
第二十三条董事会将流动性风险管理情况纳入到对董事、高级管理层 的履职考核中。
第二十四条 高级管理层应针对流动性风险管理建立明确的内部评价考核机6制,将各分支机构或主要业务条线形成的流动性风险与其收益挂钩,从而有效地防范因过度追求短期内业务扩张和会计利润而放松对流动性风险的控制。
第二十五条 针对本行流动性风险管理的内部评价考核机制,本行应建立相关问责制度,以推动业务发展质量的全面提升。第六章 附 则
第二十六条本政策由南京银行股份有限公司董事会风险管理委员会负责 解释。
第二十七条本办法自董事会批准之日起执行。
第三篇:信息科技与电子银行风险管理
信息科技与电子银行风险管理专题
信息科技发展现状
完成了全省数据大集中
各类业务系统和管理信息系统不断丰富 更好更快更优的服务
对业务的支撑作用越来越大
信息科技地位和受关注程度越来越高 信息科技风险日益积聚 信息科技风险的概念
IT风险是指在对信息科技的运用过程中,由于自然因素、人为因素、技术漏洞、管理缺陷产生的操作风险、法律和声誉等风险。
特点:风险发生时影响较大
风险出现具有不确定性
对风险的估计或防范手段不足
对其他风险具有传导性
对当前农村合作金融机构而言,最大的风险是对科技的不够了解,以至于没有纳入日常管理内容。
信息科技风险管理的目标:通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。
近年银行信息科技风险事件
2007年3月21日,某全国性银行因主机监控软件存在缺陷,导致业务交易阻塞,系统瘫痪近4个小时,所有营业网点无法正常开展业务;
8月15日,某全国性银行对计算机系统进行升级,但由于没有避开业务高峰期,导致个人业务系统运行不畅,业务办理速度缓慢,部分代理证券业务受阻,在持续5个半小时之后,系统才逐步恢复正常 ;
12月21日,某全国性银行因运行中心核心网络设备出现故障,造成业务无法正常进行,虽启动应急预案,但仍然中断营业近1个小时;
08年元月7日,某地方银行因主干专线的接入设备发生故障,造成在京117家支行网点柜台交易缓慢,业务无法正常进行,故障持续1个多小时才得以解决。
06年4月,某大型银行间组织发生系统故障,导致所有银行卡跨行业务影响8个多小时
2010年,发生多起某全国性银行、地方性银行、外资银行、银行间组织等严重信息科技运行事故。
监管当局VS信息科技风险
2006年,银行业机构信息科技风险评价审计通知;
2007年,落实信息科技风险评价审计整改及自评估工作的通知 2008年,发布《银行业重要信息系统应急管理规范(试行)》; 2009年,发布《商业银行信息科技风险管理指引》 2010年,发布《商业银行数据中心监管指引》、《银行业金融机构重要信息系统投产及变更管理办法》、《银行业金融机构外包风险管理指引等》
目前存在的主要风险及应对措施
内控制度建设不完善,没有将科技纳入日常管理工作范围
二级法人体制下的科技建设矛盾和信息安全管理的矛盾
主要业务平台和结算渠道建设完成后,行社将成为特色业务、产品创新的主要角色
信息化快速发展造成行社科技管理的缺失:
对系统功能没有充分了解,影响业务管理,如授权、流程、劳动组合、产品创新
科技人员不足、内部审计的空缺
现状:科技人员的缺乏,法人行社内部审计对科技信息风险管理监测的缺失
措施:未雨绸缪,结合精英培养工程,制定人才补充、培养计划
内部审计部门应配备足够的资源和具有专业能力的信息科技审计人员,独立于本银行的日常活动,具有适当的授权访问本银行的记录
充分重视科技队伍建设,做好人才储备,关键岗位
实现A、B岗
没有正确认识业务与科技关系
科技的工具作用:引领作用、创新作用
科技工具的双面性:提高生产力水平和风险的隐蔽性、聚集性
关键工作:
业务规划、市场调研:科技充分介入
业务需求说明书:科学、详细,业务为主、科技参与
测试:重点关注、运行风险及业务风险关键
科技工作特点:风险大、责任大、压力大
科技人员工作软环境:理解、认可、支持,科技人员不是电工
科技为业务服务,科技需要走在业务的前面
外包风险将是银行未来主要关注的信息科技风险
案例:
2006年4月21日,许霆与朋友郭安山利用ATM机故障漏洞取款,许取出17.5万元,许霆被广州中院判处无期徒刑。
2010年5月23日,云南农信昆明关雨信用社ATM出现故障,何鹏取1000元,取款机吐出了3700,ATM大方送钱近6万元。何鹏被抓,判无期,去年最高人民法院又改判为8年6个月。
措施:关键系统维护必须严格管理,制定完善的实施方案,清晰职责、履行审批手续,双人操作,换人复核,做好维护记录。
自己的系统自己管,落实制度、不能偷懒,外面的人员更要严管
访问控制(内外网互联)
案例:
2004年,某大学生非法侵入合肥多家银行的计算机盗取客户资料,并公布于互联网上,对银行声誉产生了很大影响,该案是公安部成立网监部门后破获的第一起案件,该罪犯被判处2年徒刑。
某银行员工,采用拨号接入方式,在家中登陆业务系统,非法窃取资金500多万。
措施:关键系统维护必须严格管理,制定完善的实施方案,履行审批手续,双人操作,换人复核,做好维护记录。
专机专用、内外网物理分离、部署检测工具软件、不在外网机器存放敏感、涉密信息
由业务而导致的科技风险
案例:
2010年,某大型银行一分行,提交50000笔代发工资业务,随即又进行取消操作,导致该行计算机系统停止服务20小时,该分行行长被调离岗位,科技部门负责人受到处分。
分析:数据修改、批量代发、中间业务等,业务对科技风险具有传导性。
措施:严格操作管理,对批量业务事先做好准备工作。计算机物理环境风险
计算机实体安全:资源管理、冗余、防盗、变更、维护 机房基础设施:防火、防水、温控、冗余 机房出入管理:门禁、登记、陪同、监控 值班与监控: 物理安全域
所有设备都要有备份、冗余 银行卡的种类及功能
按照能否提供透支功能,银行卡可分为信用卡和借记卡 针对发卡对象的不同,银行卡可分为单位卡和个人卡
按银行卡的帐号币种不同,银行卡可分为人民币卡、外币卡和双币种卡 储蓄功能、支付结算功能、汇兑转账功能、消费信贷功能 银行卡业务风险
银行卡风险管理的一般原则: 确定管理目标 进行风险评价
风险控制及处置
银行卡风险管理的原则
银行卡业务特有风险管理原则:
从上到下的风险管理策略和流程明晰化原则
深刻理解风险和收益对称的原则
应用统计手段和系统化管理的原则
有效风险管理组织架构的原则。
银行卡业务风险
银行卡风险:信用风险、市场风险、操作风险、法律政策风险、声誉风险
借记卡风险较低,主要是管理责任,包括:反洗钱、受理环境保障、风险提示义务 银行卡业务风险
信用风险:是指由于持卡人主观或者客观上的原因,违约拒付欠款而产生的坏账风险,由于信用卡属于无担保、无抵押的小额消费信贷产品,因此,信用风险是信用卡业务的一个最主要损失来源。
应对措施:做好信用卡申请人员的身份、还款来源的审查工作,系统提供预警机制。 操作风险:是指由于人员、系统以及业务流程方面的问题而产生的风险,主要包括欺诈风险、内部操作风险、中介机构交易风险和系统安全风险。
欺诈风险又分为欺诈性申请和欺诈性交易。欺诈者盗用他人身份信息而申请开户信用卡,是欺诈性申请,欺诈者盗取卡片或卡片的信息进行刷卡,是欺诈性交易。 欺诈风险也是目前最严重、危害最大的一类风险。
应对措施:一是加强本行信息系统安全管理,建立各种交易风险监控机制,构建数据分析和风险预测模型, 二是加大与中国银联、公安部门及同业之间的信息沟通与交流合作,共享银行卡风险信息和风险控制的最新措施,通过各方的力量化解风险事件, 三是做好银行卡受理环境的预防工作,按照“谁发卡,谁负责”和“谁发展的特约商户,谁负责”的原则建立发卡机构和收单机构责任追究制度,定期对特约商户进行回访制度;加大对收单机构人员银行卡受理流程的培训,做到规范受理,不给犯罪分子可乘之机。
四是加强对自助设备的巡查和监控力度。
五是加强银行卡风险宣传工作,提高持卡人风险防范意识。 内部操作风险
是指银行工作人员违规操作或操作失误造成银行资金损失,或者工作人员利用职务之便,与不法分子勾结、串通作案,引起发卡行或客户资金损失的风险。
与外部欺诈风险和中介机构交易风险相比,此类案件不具有普遍性,但是由于是内部专业人员作案,手段更加隐蔽,对银行声誉的影响也更严重。 规范内部流程、明确岗位责任、加强监督制约
声誉风险:往往是一种结果性的体现,银行卡业务环节中某一个利益主体在出现欺诈风险、系统安全风险或法律、政策性风险时,其未必会有直接性的财务损失,但往往会影响其良好品牌形象的维护,从而间接带来经济上的损失
声誉风险也来自于客户的错误操作或是疏忽。安全风险会被夸大从而导致客户对银行失去信心。
克隆网站、钓鱼网站等虚假网站会带来客户敏感信息泄露,引起资金损失从而影响银行声誉。
案例一:2009年3月8日,雷某在深圳某ATM机取钱,在正常输入密码后,听到点钞声,但出钞口未见钱出来,这时,雷某看到ATM机旁有一张“温馨提示”,就按照“温馨提示”留下的“服务热线”拨过去,对方在电话中称事主的银行卡出现故障,卡内资金已不安全,要求按提示转移到另一“安全账户内”,雷某立即在ATM上进行转账。导致资金受损1万元
应对措施:加强对ATM机和转账业务的管理,未经持卡人主动申请并书面确认,发卡机构不得为持卡人开通电话转账、ATM转账、网上银行转账等自助转账类业务 为持卡人开通自助转账业务时,要向持卡人充分提示开通有关业务的风险,并要对持卡人进行更为严格的真实身份核查,确保实名开户。同时提示持卡银行卡密码设置不能过于简单、银行卡与身份证等证件尽量不要放在一处保管,领卡时及时在卡片背面签署持卡人姓名,不要在不安全的网站链接网银。
总结
风险是可以转移的 风险就是收益
最大的风险是不能正确认识风险,不能充分管理风险
第四篇:信息科技风险管理经验交流
额敏县农村信用合作联社
信息科技风险管理经验交流
塔城地区银监分局:
根据塔城地区银监分局《关于召开2011年塔城地区银行业金融机构信息科技风险管理联席会议的通知》要求,现将和额敏县农村信用合作联社信息科技风险管理情况汇报如下:
一、信息科技风险管理基本情况
为提高安全管理意识,充分认识信息科技风险管理工作的重要性,建立了一把手负责制,明确信息科技风险管理的职责权限,逐级落实信息科技管理责任,严格事故追究责任制。成立了以联社理事长为组长、领导班子成员为副组长、各相关部门及营业网点主任为成员的信息科技工作领导小组,制定了信息科技应急处置预案,明确了因信息科技风险导致营业网点发生业务故障时,联社各相关部门需采取的措施和步骤,提高了对信息科技风险的预防和处置能力。
2009年10月,自治区联社鉴于各县级联社信息科技风险管理技术力量薄弱,管控能力较差等情况,以地区为单位成立了科技分中心,对各联社信息科技工作和部分重要设备统一进行管理,并每季对网点进行一次科技风险管理巡检。
二、联社信息科技应用情况
(一)网络情况。目前我社各网点均通过租用电信公司专线与直接与塔城地区科技分中心相联,业务专线与因特网物理隔离,可以有效的防止了网络不法分子对我社业务网络
攻击和破坏。对部分重要的网络设备、参数(如网点路由器)由地区科技分中心进行备份。
目前我社网点全部建立了电话线路备份,如网点专线出现故障,通过向地区科技分中心申请后,可以使用电话备份线路办理业务。
(二)生产环境。为提高农村信用社的业务发展,增强业务处理能力,自治区农村信用社使用了数据集中模式,数据集中到自治区联社科技中心。各项应用系统的维护、数据备份等由自治区科技中心操作。
(三)科技管理。
我社所有电脑均安装网络版杀毒软件,并及时进行更新,防止病毒传播和有害程序注入,保证了网点和机关各部门的电脑稳定安全运行。
三、存在的问题
由于县联社没有专职或兼职科技管理人员,对县联社的新业务软件上线,软硬件的日常维护,科技分中心距离县联社较远,技术支挣不是很方便。如网点线路关键设备发生故障,不能迅速排除故障,可能造成网点停业时间较长。
今后我社将在自治区联社的领导下,在地区银监局的正确监管下,加强信息科技风险防范,努力提高信息科技防范工作力度,做好对敏感信息的保护和应急能力建设,确保我社信息科技工作稳定、安全发展。
额敏县农村信用合作联社
二〇一一年四月二十六日
第五篇:银行信息科技风险自查报告
银行信息科技风险自查报告
在人们越来越注重自身素养的今天,报告的适用范围越来越广泛,我们在写报告的时候要注意语言要准确、简洁。你还在对写报告感到一筹莫展吗?以下是小编为大家收集的银行信息科技风险自查报告,仅供参考,欢迎大家阅读。
银行信息科技风险自查报告1按照上级领导的指示,我行认真贯彻精神,为充分做好重要时期金融网络和信息系统安全保障工作,防范我行信息科技风险,保障计算机系统运行和操作安全,建立和完善信息科技风险管理机制。对我行的信息科技工作进行了一次全面的自我评估及审查。现将审查情况报告如下:
一、设备间建设规范和管理规范
(1)设备间安装了温湿度仪表,以用来监控机房温度和湿度,并能够及时开启控温控湿设备来保证机房的温度和湿度。
(2)设备间每周由网点经理或支行行长来对设备间的环境状况进行检查,并登记成册,以确保设备间保持整洁和规范。
(3)设备间严格控制出入人员,并保证营业网点外来人员有相关证件登记。
(4)支行技术人员每年一次对设备间的主要设备进行巡检,确保设备能够正常使用,并在相关登记本上记录。
二、应急管理和终端安全
(1)支行会不定期对一些预案进行检查,确保这些预案是最新的,且告知网点人员张贴在需要的地方。
(2)支行每年会抽取一定的网点人员进行培训和演练,并书写心得和体会,确保网点人员能够正确的应对突发状况。
(3)支行每月会不定期的抽查相关电脑的软件安装情况,检查是否存在私自安装不必要的软件,以及是否私自开通ADSL等违规的网络。
银行信息科技风险自查报告2一、网络运行风险
1、来自互联网和移动磁介质上病毒的攻击。随着我区农村信用社电子化建设的发展,计算机技术在农村信用社各项业务中的广泛应用,部分员工因病毒防范意识较为薄弱,加上计算机水平又是参差不齐,有的员工很难主动发现客户端系统出现的漏洞从而实施补丁升级,U盘滥用且从不进行病毒扫描,这样就容易造成内部信息泄漏或网络阻塞,中断重要业务的正常运行。
二、操作流程风险
随着业务的更新和科技步伐的加快,员工的计算机操作业务能力与严格执行规范程序不适应,综合柜员制未能全面落实,不能够完全掌握农信社的各项业务操作流程及处置程序,必然会造成操作失误而导致风险。操作风险大致分为以下几方面:
1、操作行为不规范,安全防范意识差。目前,我区农村信用社计算机操作员一般只通过了短期辅导培训,未能全面掌握计算机理论知识及运用技术,主要表现在:一是一些操作人员对计算机知识的`缺乏,
经常出现操作性错误;二是操作人员基本安全意识不强,缺乏安全防范意识;三是人员调离或岗位变动时不及时注销操作员,导致操作员不便于管理;四是人离机不退,个别人随意离开工作岗位,也不签退,给他人可乘之机,造成了严重的信息安全隐患。
2、不严格执行操作流程,造成安全隐患。由于部分员工跟不上当前农村信用社电子化建设步伐,对推出的硬件设备以及电子化产品及功能不熟悉或风险意识不强等原因造成了在操作过程中出现系列风险。一是操作人员不严格执行硬件设备的操作流程,造成设备损坏,致使重要业务中断的风险;二是没有定期对机器除尘、保养,使微机在较恶劣环境下带“病”工作,计算机运行报错或元器件损坏时有发生,影响了信用社窗口的服务效率和形象;三是不严格按照业务操作流程操作业务系统程序,给他人或科技结算中心造成不必要的负担。
为此我们将严格按照省市联社关于计算机管理的一系列相关要求,对日常计算机信息管理中存在的问题经行重点监督和整改:
1、严格业务系统、办公系统与因特网等公众系统的隔离,无法隔离的要随时升级杀毒程序,同时严格移动磁介质的使用范围、杀毒流程。加强员工计算机知识培训,提高员工的电脑操作技能,制定防
毒策略,养成良好的上网习惯,严防病毒侵害。
2、加强对一线人员的操作流程、各项基本规定的培训,加强对信息专管员的培训,提高其处理计算机及网络故障、防范计算机及网络风险的能力;对业务操作人员要重点抓好计算机知识的普及培训工作,建立各种形式的岗位培训和定期轮训制度,提高职工的政治素质、业务技能、敬业精神、计算机业务操作水平和安全防范综合能力。一线人员的操作和授权不能流于形式,坚决杜绝各种混岗现象,严格遵循管理制度。
3、严格操作规范及操作权限管理
随着农村信用社的发展,信贷系统,财务系统,OA系统的成功上线并投入使用,操作人员必须学习和掌握农村信用社的操作流程和各项规章制度,加强制度执行力的管理。操作员密码必须定期不定期修改,并严格按规定设置操作员及操作员密码,还需定期修改密码,多用字母或符号,严禁使用6位相同数字或电话号码或生日号码等,严禁口头或电话告知操作密码。
4、加强内控建设,强化监督,完善防范机制。首先,建立柜员岗位制约为主,做到责任到岗、落实到人、相互制约、互相监督。其次,
全面落实以主任、内勤主任为主的监管体系,确保做到实时监管,及时发现问题,及时进行整改,消除风险隐患。再则,加强会计事后监督和电视监控系统管理,加大查处力度,重点是督促基层社各项计算机制度执行与落实,提升基层执行力,以此推进和完善防范制度,切实做到防患于未然。
5、日常维护方面,由基社信息专管员负责每周一次对机房卫生清理和设备故障排查,发现问题及时上报科技信息部处理;每月在各基社网点信息专管员的配合下,对网络设备的运行和管理进行维护和检查至少一次,全辖的ATM和POS机由科技信息部统一管理,落实基社网点专人负责,加大专管人员的培训,使日常操作、维护工作和安全防范措施得以落实。
银行信息科技风险自查报告3一、网络运行风险
来自互联网和移动磁介质上病毒的攻击。随着我区农村信用社电子化建设的发展,计算机技术在农村信用社各项业务中的广泛应用,部分员工因病毒防范意识较为薄弱,加上计算机水平又是参差不齐,有的员工很难主动发现客户端系统出现的漏洞从而实施补丁升级,U盘滥用且从不进行病毒扫描,这样就容易造成内部信息泄漏或网络阻塞,中断重要业务的正常运行。
二、操作流程风险
随着业务的更新和科技步伐的加快,员工的计算机操作业务能力与严格执行规范程序不适应,综合柜员制未能全面落实,不能够完全掌握农信社的各项业务操作流程及处置程序,必然会造成操作失误而导致风险。操作风险大致分为以下几方面:
1、操作行为不规范,安全防范意识差。目前,我区农村信用社计算机操作员一般只通过了短期辅导培训,未能全面掌握计算机理论知识及运用技术,主要表现在:
四是人离机不退,个别人随意离开工作岗位,也不签退,给他人可乘之机,造成了严重的信息安全隐患。
2、不严格执行操作流程,造成安全隐患。由于部分员工跟不上当前农村信用社电子化建设步伐,对推出的硬件设备以及电子化产品及功能不熟悉或风险意识不强等原因造成了在操作过程中出现系列风险。
三是不严格按照业务操作流程操作业务系统程序,给他人或科技结算中心造成不必要的负担。
为此我们将严格按照省市联社关于计算机管理的一系列相关要求,对日常计算机信息管理中存在的问题经行重点监督和整改:
1、严格业务系统、办公系统与因特网等公众系统的隔离,无法隔离的要随时升级杀毒程序,同时严格移动磁介质的使用范围、杀毒流程。加强员工计算机知识培训,提高员工的电脑操作技能,制定防毒策略,养成良好的上网习惯,严防病毒侵害。
2、加强对一线人员的操作流程、各项基本规定的培训,加强对信息专管员的培训,提高其处理计算机及网络故障、防范计算机及网络风险的能力;对业务操作人员要重点抓好计算机知识的普及培训工作,建立各种形式的岗位培训和定期轮训制度,提高职工的政治素质、业务技能、敬业精神、计算机业务操作水平和安全防范综合能力。一线人员的操作和授权不能流于形式,坚决杜绝各种混岗现象,严格遵循管理制度。
3、严格操作规范及操作权限管理
随着农村信用社的发展,信贷系统,财务系统,OA系统的成功上线并投入使用,操作人员必须学习和掌握农村信用社的操作流程和各项规章制度,加强制度执行力的管理。操作员密码必须定期不定期修改,并严格按规定设置操作员及操作员密码,还需定期修改密码,多用字母或符号,严禁使用6位相同数字或电话号码或生日号码等,严禁口头或电话告知操作密码。
4、加强内控建设,强化监督,完善防范机制。首先,建立柜员岗位制约为主,做到责任到岗、落实到人、相互制约、互相监督。其次,全面落实以主任、内勤主任为主的监管体系,确保做到实时监管,及时发现问题,及时进行整改,消除风险隐患。再则,加强会计事后监督和电视监控系统管理,加大查处力度,重点是督促基层社各项计算机制度执行与落实,提升基层执行力,以此推进和完善防范制度,切实做到防患于未然。
5、日常维护方面,由基社信息专管员负责每周一次对机房卫生清理和设备故障排查,发现问题及时上报科技信息部处理;每月在各基社网点信息专管员的配合下,对网络设备的运行和管理进行维护和检查至少一次,全辖的ATM和POS机由科技信息部统一管理,落实基社网点专人负责,加大专管人员的培训,使日常操作、维护工作和安全防范措施得以落实。