第一篇:银行强化安全管理着力提升风险防控水平
大同分行强化安全管理着力提升风险防控水平
韩伟伟
近来,大同分行在总结今年前三季度安全保卫工作的基础上,进一步加大风险防范措施,强化安全保卫责任,深化安保工作检查督导质量,提升风险防控水平,确保实现全年安全管理目标。
一是强化内部安保责任机制。充分认识剖析社会治安形势,认真落实单位内部治安保卫和消防安全责任制,切实把安全保卫工作视为一条主线贯穿全辖经营管理的全过程,与业务工作同安排、同部署、同检查、同考核,构造综合治理的全行大保卫格局。
二是强化安全检查督办整改力度。坚持安全检查经常化和制度化,充分发挥安全督查在安全保卫工作中的重要作用,不断调整和改进检查方式,提高检查质量,做到持续、全面、细致,做到不走形式,不留隐患死角。对检查发现的问题隐患,坚持“违章必究,有责必问”原则,做到对违规行为的直接责任人和管理责任人的双问责。
三是强化全员安全警示教育。高度重视全员日常安防教育,利用内网平台转发《案件防范情况通报》、《保卫工作动态》等,及时通报案件防范形势,传达案件防范要求,剖析作案手段,提高安全观念,增强安防意识。积极开展营业网点保安队员防抢劫、防盗窃、防诈骗,配合营业网点安全员正确处理客户纠纷等预案演练,办公大楼消防预案演练。
四是强化重点部位安全管理措施。继续加强ATM自助机具的安全管理,加大对自动柜员机的日常检查,加强夜间巡查;加强消防设施管理,配合公安消防部门深入推进“清剿火患”战役;在部分重点支行进行防抢防盗演练,充分发挥监控系统平台作用;深化学习型保卫团队建设,努力实现保卫从业人员的履职能力、管理能力和创新能力有较大提升。
第二篇:着力提升风险防控能力(安全大检查汇报材料
着力提升风险防控能力,坚定不移
推进安全发展
---集团公司2015年春季安全大检查汇报材料
各位领导,大家新年好!
金马奋蹄辞旧岁,三羊开泰迎新春。首先感谢集团公司春季安全大检查组一行莅临物资公司宁东仓储配送中心检查指导工作。我代表中心就安全生产工作的部署和实施情况向各位领导作简要汇报,有不妥之处敬请批评指正。
2015年是国家全面深化改革的关键之年,是全面推进依法治国的开局之年,也是全面完成“十二五”规划的收官之年。从煤炭和石油化工市场来看,也是形势最为严峻的一年。2015年,也是集团公司积极主动适应新常态,全力以赴抓管理保运行的重要一年。宁东仓储配送中心作为集团公司专业化物资供应部门,承担着集团生产、建设所需物资供应保障任务,我们工作的重心是为矿井生产建设提供强有力的物资供应保障,所以,我们要充分认识当前形势,适应经济新常态,直面挑战,抓住机遇,从零开始,向零进军,切实提升安全管控水平。要认真贯彻集团安全工作会议和物资公司工作会议部署,全面落实集团公司安全1号文件目标任务,持续推进风险预控体系落地,强基固本,从严务实,深化长效机制建设,提升安全管控水平,杜绝零伤害,为保证集团公司生产、建设更好水平发展提供满意服务。
一、贯彻落实上级文件要求及会议精神情况 利用各种会议及时向员工传达集团公司文件精神,尤其组织学习关于印发王俭董事长严永胜总经理在2015年工作会议暨一届六次职代会上讲话的通知、以及集团公司安全生产1号文件、物资公司贺总工作报告精神,让大家清楚集团公司安全生产面临的形势,教育员工珍惜岗位,立足岗位,树立与企业同呼吸、共命运的发展意识。并结合中心工作实际,明确了中心安全工作的抓手和重点。
二、隐患排查治理情况
一是深化风险源管控机制。对中心风险源从“人、机、环、管”四个环节进行认真查找反复梳理,共计查出103条风险源,根据所查找到的风险源又进行逐条分析认真评估,确定风险等级并制定相应的管控措施,把查找到的风险源汇编成册,发到每一名员工手中并制定风源辨识卡,让每名操作员工挂牌上岗,让员工时刻牢记风险就在身边,时刻警钟长鸣。二是重点对作业现场“员工不安全行为”、和门卫的检查,杜绝“三违”现象的发生,门卫重点对进出车辆的登记和车辆检查情况进行检查。三是制定“五定表”限期整改,每周进行安全和重点区域的“四防”检查,现场发现安全隐患,能够就地整改的,各负责人现场安排人员当时整改,现场解决不了的,中心制定“五定表”限期整改。四是强化了仓储机电设备的安全管理工作。建立设备巡检制度,设备管理员对设备的运行状况进行监控,将每周一次的设备检查数据做好登记,通过对数据变化,分析设备运行状况,是否需要检修;定期开展设备管理员专项培训,逐步提高设备管理员的技术水平。
三、狠抓制度建设,完善各项标准
修订和完善了22个岗位的安全生产责任制、23项安全、生产、设备、经营管理制度的工作,建立健全了目标明确、可操作性强、全面闭环的安全生产规章制度。为了加强对自动化立体库的安全监管和规范操作,编制印发了《自动化立体库操作管理规范手册》,辨识了自动化立体库使用过程中存在的风险源,明确规定了立体库作业的实施标准、内容和提高方向,为切实保证本质安全工作真正落地提供了制度保障。
四、加强现场安全督查
作业现场是安全事故高发区,也是中心安全管理工作的落脚点。为切实做好现场安全工作,中心坚持实行领导干部带班负责制,建立了中心领导安全生产联系点制度,以点带面,把安全工作落实到实处。中心专职安全管理人员每天在现场巡查同时必须做好巡查记录。
五、安全教育培训工作
为加强员工的安全思想教育,让安全意识牢固树立于心,一是坚持利用中心“5.25”班前会,组织全体员工学习《安全生产法》《煤矿领导带班下井及安全监督检查规定》《国务院关于进一步加强企业安全生产工作的通知》等一系列安全生产法律法规,二是对特殊工种:天车司机、叉车司机、装卸工等进行专门的安全操作培训;三是聘请专业消防人员对护场员工专门进行消防知识讲座并现场模拟库房火灾的扑救培训,四是利用LED电子宣传屏、版报、专栏等各种方式,及时宣传安全生产政策、法律法规、安全生产形势,开展安全警示教育。五是按照集团公司开展“周五安全活动日”工作部署,精心组织、认真备课,每周五下午3点半-5点为“安全活动日”,主要是组织传达上级有关安全生产文件精神,组织员工学习有关安全的法律法规和安全知识,通报当天检查中发现的安全隐患,和员工不安全行为。提高员工的安全意识,对班组进行安全知识培训,积极营造人人关注安全、人人学习安全知识的浓厚安全生产氛围,为中心安全生产奠定坚实思想基础。
六、强化对重点区域的防范控制
一是充分发挥库区电子监控系统和巡更系统的作用。在整个库区安装了电子监控系统和电子巡更系统,利用库区电子监控系统75个监控探头将库区内的重点要害部位,及库房内物资全部处于全天候24小时监控之下,确保整个库区及物资的安全,对随时发现的问题第一时间进行处理,及时将隐患消除在萌芽状态。利用电子巡更系统对库区内每个重点要害部位,根据其作用大小及监控力度进行科学评估,最终确定83个巡更点,护厂人员每天从晚18点到第二天早8点每隔三小时进行点检巡查。通过人、机系统的联合监控体制,使库区安全管理实现“监控无盲区、巡查无漏点”的动态监管状态。二是增加犬防力量,对场区监控摄像头没有涵盖的液压支架存放区,增加犬防,有效杜绝了物资丢失现象发生。三是强化干部值班制度。中心正常工作日下班后和周末休息日,都安排有中层干部值班,周六、周天由中心主任和书记总值班,以此确保生产单位急需物资的联系顺畅和平衡协调配送物资,并对库区的安全管理进行监督检查。四是强化对外委队伍的安全管理。多年来宁东中心物资装卸配送由外委装卸队完成,但是我们一直严格按照规定,从严管理,强化教育监管,认真签订合同,狠抓队伍建设,使得装卸队伍的处于完全监管之下,保证了宁东辖区物资装卸配送工作的正常进行。下一步工作打算:
1、上半年对库区内的所有吊装设施、配送车辆、叉车铲车、进行全面检查维护保养。
2.3月份重新组织对仓库隐患、危险源再辨识,修改完善隐患排查制度。
当然,由于我们是地面三级单位,对安全工作的重视程度无法和矿井相提并论,可能在某些方面还存在不少问题,恳请各位检查组领导提出宝贵意见,我们会在今后工作中加以改进、提高。
第三篇:强化贷后尽职管理 提升风险防控能力
强化贷后尽职管理 提升风险防控能力
随着市场经济的不断发展,股份制改革的深入推进,农发行业务经营方式及内容正在发生深刻的变化,信贷风险的控制难度进一步加大,贷后管理也受到了新的挑战。因此,必须加强对传统贷后管理方式的创新,切实规范贷后管理行为,不断提升防范、控制和化解风险的水平。
一、当前贷后管理工作中存在的问题
与前几年传统意义上的贷后管理相比,农发行目前的贷后管理工作已有了一定程度的改善,但从总体情况来看,贷后管理仍然存在着不少问题:
1、贷后管理观念仍旧滞后,未形成良好的管理习惯。一是认为贷款发放后资金调度是企业内部的事。我们通过对一些不良贷款客户的检查分析发现,一些贷款被借款人转移到关联企业、母子公司,使借款企业逐渐空壳化,导致银行债权悬空。二是认为能还息就是好贷款。这种观点的危害性在于,相当部分信贷人员仅因企业能还利息,就作出企业运作正常的判断,进而放松贷后管理或盲目办理转贷、续贷,忽视了企业在保证按期还息的承诺下,挪用贷款于高风险项目,经营状况渐趋恶化的可能。三是认为贷款只要能收回,企业用什么来还并不重要。在实际工作中,经营行不应满足于按期收贷,还应加大营销力度,建立更加牢固的银企关系,防止其他行欲将本行贷款挤出,形成本行贷款被顶替的风险,由于放松贷后管理而失去好客户同样是错误的。四是认为企业因避税才做虚假报表,可以理解。客户经理即使对企业避税行为无法干涉,出于银行利益,也需要弄清企业真正的经营成果,不能任由企业提供虚假报表而不加制止。
2、贷后监管不到位,未抓住核心内容。在近年来的各种内外部检查中,贷后管理薄弱是反映最多、最普遍的问题。贷后检查表现为“五多五少”:一是制定规定多,抓落实少。重教育、轻奖惩,对检查中暴露的问题,并没有引起深层次的警戒,也缺乏与之配套的考核奖惩措施,没有能起到“前车之鉴”的作用。二是立足于贷款检查多,立足于客户检查少。具体而言,对客户组建集团、股份变化、兼并、重组、外地投资、母子公司关系等往往不清楚,缺少明确的应对规则,实际上是割裂了风险的产生源。三是为应付上级行检查,从完善手续资料出发进行检查多,为防范风险信贷人员自发检查少。对借款人发生重大变更事项反应迟钝,对借款人暴露的潜在经营风险未引起足够重视,对借款人的有效资产分布掌握不清,对担保单位和抵押物监督不力。四是机械地按规定操作多,根据具体情况灵活性操作少。重复劳动问题突出,目的性不强,不论大客户、小客户,贷款金额多少,客户优劣如何,都是一样的格式内容,缺乏深入细致的分析。五是检查发现表面情况多,可以为信贷决策提供参考的高质量信息少。按照贷后检查频率要求,一般每年至少进行数次不等的贷后检查,但由于条件局限,检查往往采取经营行自查、管理行抽查部分信贷档案的方式,这种“蜻蜓点水”式的检查对降低贷款风险、监督资金使用情况所起的作用是有限的。
3、信息系统建设步伐缓慢,不能满足实际工作需要。主要表现为:一是信息触角失灵,贷后信息采集不力。目前,贷后检查主要是客户经理“下企业”了解情况、填制贷后检查表的模式,方式单
一、简单,客户经理不注意经常性的资料积累和信息收集工作,对客户综合信息反馈不及时,对市场的影响因素和变动趋势预测不力,把握不准,造成触角不灵,难以支持准确决策;二是信息共享性差。行内信息流通不畅,由上至下呈逐级衰减态势,行际间缺少共享平台,竞争多于合作,因此,无法实现充分及时的信息共享;三是获得信息后整理不足。对检测发现的问题和情况缺乏系统、科学的整理,信息分析基本呈真空状态,难以对客户进行及时、正确的风险评价,也不能为经营主责任人和审查审批人员进行准确的判断提供可靠的事实依据。
二、加强贷后管理创新,提高风险防控能力
(一)加强观念创新,增强风险防范意识
贷后管理要在与农发行的企业文化建设相结合的前提下,对客户经理进行素质及职业道德的培育与控制,要牢固树立三个观念:一是树立人才资源战略观念,变单纯使用客户经理为培养使用客户经理,形成客户经理职业生涯促进机制。加强对客户经理职业技能专业培训,将容易出问题的借款人的各种早期症状分门别类进行归纳总结,编制成案例,组织定期学习和讨论,提高其辨别不良贷款的能力,增强贷后风险识别和敏感性;同时,还要大力提高客户经理的道德品质和敬业精神,防范道德风险。二是树立尽职管理观念。贷款发放后,必须全过程、全方位地进行跟踪管理。客户经理要真正意识到对贷款的监督、检查与管理是提高银行资产质量的重要手段之一,也是对发放贷款所承担责任和风险的自我保护措施。客户经理要积极而主动地与借款人保持密切联系,经常深入企业了解企业状况和经营能力。根据不同的担保方式,定期检查抵押物的完好程度、市场售价的稳定性,对保证人资信主财务的变动情况,以及借款人所在行业在经济发展和产业结构调整的地位及变动趋势,作出经营预测分析,使贷后尽职管理成为一项日常性的工作。三是树立贷后动态管理观念。从市场角度看,目前我国产业结构、产品结构处于升级换代时期,市场瞬息万变,企业此消彼长,经营风险增大,贷后风险也随之加大;从企业的信用程度看,尚未走上法制化的轨道,一些企业采取各种手段逃废债务,往往造成银行贷款悬空;从企业自身发展看,客户产品生命周期及其在本行业中所处位臵是动态变化过程,贷后风险的判断必须随之而改变。
(二)加强管理创新,提高贷后管理水平
1、在贷后管理制度上的创新。首先,要完善贷后管理制度,依据客户的大小、风险度高低、产品市场竞争能力以及客户信用等级等进行分类,精心设计一套科学的、行之有效的贷后管理制度,实施差别管理,把贷后管理的内容以规范化格式固定下来,并建立相应的操作程序和考核办法。其次,要建立重要信贷客户定期分析制度,同时建立重大、异常情况报告和处理制度,规定贷后管理的组织实施的决策层次与贷款发放的决策层次相对应。第三,建立必要的沟通制度,应定期组织客户经理开展工作讨论,以便发现、研究和解决新问题,也使客户经理在讨论制度中受到启发,提高识别能力。第四,建立检查制度,定期检查客户经理提供的关于借款人偿债能力的指标及日常财务状况的分析报告,而且每隔一段时间调整部分考核指标的标准,从而督促客户经理经常进行贷后检查。第五,完善贷后管理责任追究制度,规定信贷管理各岗位和环节的贷后管理责任,明确风险的上报时限和处理时限,对贷后管理问题较多的单位和和人员,要给予警示并限期整改,整改不位的要采取相应的制裁措施,切实做到责任明确、任务落实、措施到位。
2、贷后管理手段上的创新。首先,在建立和完善一整套具体、详细的贷后检查考核管理办法的基础上,按季监控,按年评比,其考核升降情况与绩效工资挂钩,促使客户经理经常、自觉走访客户,及时掌握企业的经营状况,通过走访收集第一手资料,以正确验证检查财务分析的质量和准确性,并将其与现行信贷台账所包含的客户信息一并进行整理、分析和挖掘,为细分市场提供依据,为判断企业的生命周期及所处的阶段提供指导。其次,建立完善高效、动态的信贷台账管理系统。一是以信贷客户档案制度为基础,要求客户经理严格按制度规定,建立完整的贷款资料。二是及时记录、整理日常贷后检查的最新情况,并以此为基础,定期撰写详细的检查报告,随时掌握贷款及贷款企业的动态,对异常情况要及时登记和报告。三是继续积极推广应用贷后管理系统,及时传输贷后信息,实现信贷台账信息的全面、实时汇集和资源共享,提高贷后管理的水平和效率。
3、贷后管理内容上的创新。完善的贷后管理除了传统的贷后管理内容外,还应包括指标管理、基础管理和客户管理等方面内容,客户经理的关注点应着重于客户的市场结构及销售指标变化、财务指标变化、信贷资金流向、资本及资产运行变化、与银行合作态度上的变化和经营管理层领导变化等风险控制点,以及国家产业政策导向调整、税制、利率改革、国际市场汇率变动等,重点分析这些变化的大小、趋势及其对银行业务的收益和风险所产生的影响。还要运用高技术手段来实现静态与动态控制的结合,扩充和延伸传统的贷款“三查”的新内涵,同步实施和确定贷款的风险预警指标,如对借款人的资产负债率、流动比率、速动比率、年产销比率和收益比率等指标设定一个警戒线,超过警戒线时,及时采取对策,将风险化解于萌芽状态。
(三)强化机制创新,综合防范贷后风险
1、建立和完善信贷激励约束机制。客户经理直接面对客户,他们最清楚客户需要什么、客户的状况如何以及贷款进入与退出的对象和时机。我们可以借鉴成立个人奖励基金的通行做法,强化对客户经理激励和约束。对于每个客户经理经手的贷款本息完全回收的,按实现利息收入的一定比例给予奖励,奖励的金额不直接发给本人,而是计入专门为其设立的奖励基金账户中。对于其经手不能完全收回的贷款本息,则按一定比例给予罚款,从其奖励基金中直接扣除。奖励基金可以为负数。为增强客户经理的责任感,保证信贷资产的质量,罚款的比例应大于奖励的比例(可以作为评价客户经理的业绩的指标之一)。这样,当退休或调离时,若奖励基金为正数,那么原单位就应该兑现奖金;若为负数,则说明该客户经理工作能力较差,或者工作不负责任,并鉴别其是否有渎职行为或违法行为。对于业绩好的人员,除了奖励基金外,还可以给予其他奖金、提薪、升职等精神和物质奖励。反之,则给予相应的惩处。
2、建立和完善风险预测发现机制。要通过对贷后信息的综合加工处理,坚持分析预测,及早发现风险苗头,提出防范对策。一是客户经理要准确把握国家宏观经济走向和行业结构的变化趋势。特别是对一些受政策因素影响大、贷款金额大的贷款户,更要注意掌握最新的国家政策信息,拓宽业务信息面,增强全局敏感性,把握宏观方面的风险。二要定期开展行业调查和企业信用等级测评,确定企业的风险程度和信用程度,并对不同行业、不同信用等级的企业分别制定相应的检查制度和防范对策。三要对处于不同阶段的企业给予不同程度的关注,对于产品处于成长期且效益较好的企业,可优先予以支持;对产品处于成熟期的企业,要维持现状,并对其予以关注;若企业的产品处于成熟期与衰退期的过渡时期,必须考虑适时收回贷款。四是充分利用人民银行的信贷登记咨询系统个人征信系统,通过查阅借款人的信用状况,有利于作出正确决策。
3、建立和完善风险处臵化解机制。对可能形成问题的风险和已形成问题的风险,其贷后管理必须抓住关键点和突破口,采取针对性策略,主动转移和规避风险。在时间上,要找准时机,做到“提前预测、适时而动”,把握收贷的有利时机;在工作对象上,要善于捕捉信息,找准目标,集中攻关;在工作手段上,必须将依法管贷贯穿于贷款风险防范的全过程;在工作方式上,要根据贷款对象、贷款金额、贷款周期和贷款风险程度等情况,分门别类,因企制宜,灵活多变,切实有效地防范贷后风险。通常而言,对已经形成风险的贷款,就要考虑用法律武器来维护债权。但是情目前况看,依法收贷中一个突出的问题是“执行难”。同时,一旦法庭相见,银企合作关系往往就会破裂和终结,这意味着银行还要为此付出某种不可忽略的机会成本。可见,仅仅依靠法律手段是不够的,还应根据实际情况,对不同的不良贷款客户,采用不同的措施,综合和灵活运用包括法律在内的各种手段来防范贷后风险。
第四篇:银行风险防控
对权力的有效制衡是预防金融机构内部人员违法违规的重要手段。农村金融机构要通过完善制度,不给违法违规人员留下可乘之机。如可以引入管理人员权利制衡机制,使管理人员的个体行为处于整个管理层的制约之下,防止权力的滥用;明确岗位责任并签订廉政保证书,规范管理人员的职务行为;坚持信贷审贷分离,采取大额贷款审批人员交纳风险金的做法,从操作环节上防止违规放贷,杜绝以权谋私行为;坚持岗位轮换制,及时发现问题和隐患;严格执行重要物品保管使用制度。
加大对内部人员违法违规的处罚力度是杜绝金融机构内部风险的又一个重要方面。内部人员违法违规,固然有心存侥幸的成分,但更深层次的原因是对违法违规成本的漠视。因此,要增加对违法违规者的处罚力度,使其不敢违规。
提高从业人员素质,培养守法和敬业精神不可或缺。目前,我国农村金融机构人员素质差异性很大,政治和业务素质的欠缺成为引致内部风险的主要因素之一。因此,有必要加强对管理人员和职工的守法教育和职业道德教育,使他们树立正确的人生观、价值观和金钱观,自觉抵制不良社会风气的影响;弘扬廉洁奉公和爱岗敬业的主人翁精神,形成健康向上的企业文化,使奉公守法成为一种自觉行为。
金融风险的产生会构成对金融安全的威胁,金融风险的积累和爆发会造成对金融安全的损害,对金融风险的防范就是对金融安全的维护。因此,要将农村金融机构通过加强内控防范风险,放在关系农业发展、农民增收、农村繁荣和保证国家金融安全的高度来看待,有针对性地采取切实措施,力争将风险化解于萌芽阶段。多未雨绸缪,少亡羊补牢。
第五篇:健全机制 加强管理 提升银行信息科技风险防控水平
健全机制 加强管理 提升银行信息科技风险防控水平
近年来,随着信息技术的飞速发展,我国银行业信息化程度越来越高,对信息科技的依赖程度显著增强,同时,银行机构对信息科技风险防范不足,管理相对薄弱,信息安全问题不断出现,造成的后果越来越严重。信息科技规模的快速扩大和信息科技风险的管理相对薄弱已成为银行业面临的突出矛盾之一,加强信息科技风险管理已刻不容缓。
一、我国银行业信息科技风险管理整体情况
人民银行行长助理李东荣在第八届科技工作座谈会上指出,我国银行业科技风险管理仍处于初级阶段。虽然各银行在科技风险管理的组织结构、策略、及流程方面有较大差异,但对科技风险管理的重要性和紧迫性都有了清醒的认识。信息科技风险作为金融风险的重要组成部分逐渐引起监管部门和银行机构的高度重视。
2008年7月,银监会颁发了《银行业金融机构信息系统安全保障问责方案》,明确各银行的法定代表人为本单位信息系统安全保障的第一责任人,并要求逐级签订信息系统安全保障责任书。2009年,银监会颁布了《商业银行信息科技风险管理指引》,从信息科技治理、信息科技风险管理、信息安全、信息系统开发测试和维护、信息科技运行、业务连续性管理、外包、内部审计、外部审计等方面,对商业银行信息科技风险管理工作提出了全面要求,成为各银行机构加强信息科技风险管理工作的指导性文件。银监会还将银行的信息系统纳入现场和非现场监管,大力开展信息科技风险现场检查,对银行的信息科技风险防范工作提出了更高的标准和要求。2011年,银监会成立了银行业信息科技风险管理高层指导委员会,专门研究银行业信息化建设和信息科技风险管理等重大问题,加大对银行业科技风险管理高层指导的力度。人民银行通过召开信息安全相关会议、进行信息科技风险评估、发布信息安全风险提示等形式,督促各银行机构做好信息科技风险防范工作。2011年12月,人民银行召开第八届科技工作座谈会,专题研讨了银行业科技风险管理问题。
国内各大银行在加快信息化建设的同时,也加大了信息科技风险管理的力度。工商银行将信息科技风险管理纳入了全行的全面风险管理体系,并作为一个重要领域进行管理,内容涉及科技治理、生产运行、应用研发、信息安全等四个方面;成立了信息科技管理委员会,把审议信息科技风险管理和信息安全管理工作列为主要职能之一,董事会及全行风险管理委员会每年审核信息科技风险管理报告。农业银行大力推进以组织体系、制度体系、技术体系为主要内容的信息科技风险管理体系建设,开展了面向软件开发、运行管理、数据安全管理、基础架构管理、IT治理等五大领域的信息科技风险管控工作。建设银行构建了‘三个层面,三道防线’的信息科技风险管理组织体系,建立了双线汇报、双重考核机制,大力开展信息科技风险评估和IT审计工作。交通银行成立了信息安全保障领导小组,建立了一支IT专职信息安全员队伍,建立了信息科技风险的检查、评估、监测、报告机制。
二、我行信息科技风险管理的现状
‚十一五‛期间,随着我行信息化建设实现又好又快跨越式发展,信息安全保障体系已初步建立,风险防控水平在实践中不断提高。一是组织机构建设取得突破。总行成立了信息化建设委员会并制订了《信息化建设委员会工作规则》,明确了职责和工作流程。信息化建设委员会由行长担任主任委员,分管行长和有关部门负责人分别担任副主任委员和委员,负责制定和审议信息化建设发展战略规划,审议重大信息化建设项目和事项。信息化建设委员会下设信息化建设项目实施审查小组,委托业务和技术专家审查信息化建设项目的可行性和潜在风险,审议项目立项、实施、上线、运维、需求变更等重要事项。各省级分行成立了信息化建设领导小组(委员会),负责领导本级行信息化建设工作。这是我行科技治理上的一次飞跃,在实践中发挥了显著的作用。
二是管理模式不断优化。一是总行按照‚管理、运维、研发‛分离的原则,分别设立信息技术部(后更名为信息科技部)和营运中心,建成了软件研发和灾备中心,并进行了科学分工,从管理体制上防范了信息科技风险。二是实行“自主研发、合作研发与外包研发相结合”的研发机制,通过多条腿走路的方式,我行信息系统建设快速跟上了业务发展和强化管理的步伐。三是探索重要信息系统的常态化升级模式,对核心系统加强需求整合,今后将逐步形成稳定的持续优化、常态化升级和问题解决模式。
三是制度建设稳步推进。‚十一五‛期间,我行建立了应用系统风险提示和重大问题报告制度、系统维护月度工作报告和联席会议制度,制定了重要信息系统等级保护办法、信息系统突发事件应急管理办法、综合业务会计应用系统总行中心突发事件技术应急处理预案、综合业务系统应用软件运行维护工作规程、软件合作开发跟踪与控制管理办法和省级分行软件研发管理办法等一系列制度规 范,信息科技风险防范的制度体系初步建立。信息化建设‚十二五‛规划确立了安全优先的原则,对信息科技风险防控提出了明确的要求。
四是基础建设和技术保障不断加强。一是建成了同业领先的‚两地三中心‛灾备系统,有效保障了业务连续性。二是实施了省级分行、二级分行机房规范化建设,部署了总行数据中心集中监控系统、省级分行和二级分行机房预警监控系统,部署了生产网、办公网、外联网防病毒系统和网络入侵检测系统,通过以上措施,从基础设施、设备、网络等方面有效防范了信息科技风险。三是开展了信息安全检查,每年对各级行进行风险评估、隐患排查,并督促整改,提高了全行对信息安全工作的重视程度和工作力度。四是实施了解决一代支付系统单点故障项目,并为省级分行更换了支付系统前臵机,从而实现了省级分行前臵机与总行支付系统主机、总行支付系统主机与综合业务系统主机连接均为双机热备模式,解决了我行支付系统存在的安全隐患。
目前,我行在信息科技风险管理方面还存在一些不足,主要表现在:缺乏信息科技风险管理的总体规划和策略;机构设臵和人员配备不能满足需要,信息科技风险防范职能还需强化;制度规范标准的制定相对滞后,没有达到全覆盖,尤其缺少完善的具有针对性和可操作性的应急预案;风险防范的技术手段还不完善,某些环节需要加强;缺少信息科技风险管理的专家级人才。
三、加强和改进我行信息科技风险管理的建议
总体思路是:提高认识,树立信息科技风险管理理念;健全信息科技风险管理机制,推进组织体系、制度体系和技术体系建设; 加强信息系统生命周期的全过程风险管理,突出抓好重点环节的风险管控;重视队伍建设,为信息科技风险管理工作提供强有力的人力保障。
(一)提高认识,树立理念
过去,信息科技风险的重要性是随着信息化建设的发展逐渐被认识的,因此,信息科技风险管理工作被动滞后,水平不高。今后,随着银行业应用系统的横向整合和数据的纵向大集中,小的疏漏和失误往往会产生‚蝴蝶效应‛,诱发重特大信息安全事故,因此,要坚持科技发展和风险管理并重的原则,把信息科技风险管理工作提高到战略高度、全局高度,做到科学筹划、总体布局、注重细节;将信息风险控制前移,把风险管控贯穿于信息化建设的全过程,将技术防范为主的被动信息安全工作,转变为以预防为主的主动信息科技风险管控;信息科技风险管理工作不是单一的技术工作,不止是信息科技和营运管理部门的工作,而是一项全行性的工作,各级行和各部门‚一把手‛应对信息安全工作负主要责任,业务、信息科技、营运、风险、审计、法律合规等部门应共同推进、共担风险,树立安全优先、稳中求进的理念。
(二)完善组织体系,强化职能
虽然我行已经建立起信息科技治理的组织机构,但还处于探索阶段,需要在实践中不断完善。例如,现有的信息化建设委员会工作规则中没有突出强调信息科技风险防范,只是在信息化建设项目实施审查小组的职责中要求专家组对项目实施的业务和技术风险进行审查,在实际操作中,由于风险审查是在立项阶段,此时还没有一个完整的业务需求和技术方案,业务和技术风险审查被进一步弱 化。总行风险管理部提出了全面风险管理体系建设的指导意见,并成立了总行风险管理委员会,但在指导意见中,只提到了IT风险(‚指我行在业务经营中,运用IT技术有缺失所产生的风险‛),而信息科技风险是指在运用信息科技过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的风险,显然范围更为宽泛,也更符合我行的实际。信息科技风险管理在风险管理委员会工作规则中也没有突出强调。
为了突出和强化信息科技风险管理职能,加强对信息科技风险管理工作的组织领导,总行可在信息化建设委员会下设立信息科技风险防控领导小组,专门负责信息科技风险防范机制的建设,制定信息科技风险防范策略、规划,协调信息科技、营运、风险、内审、法律等部门的风险防控工作,组织和领导重大信息安全事故的应急处臵工作,每年审阅并向银监会报送信息科技风险管理的报告。总行信息科技部设立信息安全管理处,负责信息科技风险防控领导小组的日常工作并督促落实审议通过的事项,起草信息安全相关制度、规范,制定应急预案、技术方案,负责信息科技风险监测、检查、评估、报告和整改,负责重大信息安全事故应急处臵的具体工作。各级分行、支行设立专门的信息科技风险管理岗位,履行相应的职能。总行风险管理委员会可听取信息科技风险防控领导小组关于信息科技风险管理工作的专题报告,并将其纳入我行全面风险管理总结报告中,同时对信息科技风险防控领导小组的工作提出指导性的意见和建议。内部审计部设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计,对审计报告 进行确认并落实整改。法律合规部加强信息科技工作中有关法律和合规性审查,防范法律风险。
(三)完善制度体系,狠抓落实
建立完备的信息科技风险防范制度体系,就是制定一整套覆盖信息科技工作全流程、涉及信息科技工作各方面的办事规程或行为准则,以此规范和约束人的行为,达到防控信息科技风险的目的。
信息科技风险防范制度体系包括纵向三个层次和横向九个方面的制度规范。三个层次是指规划策略层、管理制度层和操作规程层。九个方面是指科技治理、基础建设、软件研发、系统运维、数据管理、设备管理、网络管理、人员管理和应急管理。规划策略是由总行(信息科技风险防控领导小组)制定的,关于信息科技风险防范的总体思路、目标、计划、要求和实施策略,与我行业务发展规划和信息科技总体规划保持一致。管理制度是相关部门(业务部门、信息科技部、营运中心、风险管理部、内部审计部等)为履行信息科技风险管理职责制定的各项制度,是规划策略在各个方面的具体体现。操作规程是针对具体系统、岗位和角色制定的工作程序和具体要求,是管理制度的细化。
制度体系建设需要把握几个环节,一是制度调研。学习国内外同业的先进经验及做法,结合我行的实际情况有选择的借鉴;对我行现有的制度进行梳理,并根据我行信息化建设发展需要和科技风险防控要求,提出制度增加、修改、废止建议。二是制度制定。制度起草前广泛征求专家意见,集思广益,把先进的经验和理念融入 到制度中;注重制度架构设计,避免制度缺失和重叠;严格制度评审和颁布,保证制度的权威性。三是制度执行。进行制度的宣传和必要的培训,使相关人员和部门知道有章可依,增强照章办事的意识;加强制度执行情况的监督和检查,狠抓落实,采取奖惩等措施增强执行力。四是制度完善。在制度执行的过程中,及时发现制度中的漏洞和缺陷,采取有效措施(如:发布补充规定、相关说明等)进行修补;当制度的具体内容已不符合现实情况时,应重新修订;针对新上线的系统或新增的工作内容,都要及时制定相应的制度规范或应急预案加以管理。
(四)完善技术保障体系,抓好重点环节。
信息科技工作本身就是技术性很强的工作,信息科技风险管理涉及信息科技工作的方方面面,每一项具体工作的落实都离不开专业技术的保障。完善技术保障体系,就是要在信息科技风险管理工作的各个方面、各个环节加强先进技术手段的运用,提高技术应用水平,注重技术创新性研究,充分发挥信息技术在信息科技风险防范中的重要作用。目前,我行在软件研发、机房建设、网络建设、灾备系统建设、运行监控等方面均采用了较高的技术标准和先进的技术手段,提高了风险防范的水平,但在应急管理、风险评估、审计监督环节上还有待加强。
一是应急管理。我行目前的应急管理工作存在较大风险隐患,须引起高度重视,主要表现为应急处臵预案不完善、不全面,没有涵盖所有系统,有些内容一直没有经过应急演练验证。随着我行应 用系统的不断增多,相应的管理制度和应急预案应及时配套出台,应急预案要加强针对性和可操作性,要明确应急领导机构、人员、职责、设备、流程、要求等内容要素,要特别注重加强与我行业务部门以及消防、通信、电力行业部门的沟通配合,善于利用日常系统维护、调试、改造以及新系统上线等机会相机进行跨部门、跨机构甚至跨区域的实战演练,在应急演练中不断改进应急预案。
二是风险评估。我行每年都要开展信息安全检查工作,虽然在一定程度上促进了信息安全防控工作。但是,由于多方面原因,安全检查只限于局部,风险隐患依然难以摸清,全面风险评估工作应该提上议事日程。全面风险评估的目的就是查找我行信息科技工作中存在的风险隐患,确定风险等级及整改措施,未雨绸缪,防患于未燃。首先要制定评估指标体系,制定评估的计划、方法和手段,其次对系统设计、开发、测试、运维全流程,对机房、网络、设备、供应商等多个方面,对性能和容量规划、可用性、可靠性、安全性、可维护性、操作性、产品及服务等全方位评估,梳理出风险点,最后评价风险点对业务的潜在影响,对风险点进行排序,并确定风险防范措施及所需资源的优先级别(包括人力、财力、外包供应商、产品供应商和服务商)。
三是审计监督。如果说基础设施建设、软件研发、系统运维中的风险控制是信息科技风险管理的第一道防线,安全检查、风险评估和监测是第二道防线,那么信息科技审计就是信息科技风险管理的第三道防线。信息科技审计就是审计部门或机构对信息安全控制 措施是否完备所做的鉴证过程,可分为内部审计和外部审计。内部审计是由内部审计部实施,内容包括制定、实施和调整审计计划,检查和评估信息系统和内控机制的充分性和有效性,在此基础上提出整改意见并检查落实情况,根据风险评估结果对认为必要的特殊事项进行信息科技专项审计。内部审计范围和频率应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果而决定,至少应每三年进行一次全面审计。外部审计是指在符合法律、法规和监管要求的情况下,委托具备相应资质的外部审计机构进行的信息科技审计。信息科技审计监督,是独立于信息系统本身、信息系统开发、运维和使用之外的一项工作,客观公正,对防范信息科技风险具有极大的意义。
(五)加强队伍建设,增强可持续发展能力。
目前,我行业务发展对信息科技需求的快速增长与信息科技力量的严重不足,已成为我行信息化建设中的主要矛盾之一。科技队伍无论在数量上还是质量上,都满足不了现实需求和信息化建设可持续发展的要求。这一问题已引起总行党委的高度重视,‚全面推进人才发展战略‛已列入信息化建设‚十二五‛规划,近期,总行行长在讲话中专门强调了信息科技人才的引进、培养、选拔、岗位设臵以及激励等问题。今后,在落实行领导指示、执行人才发展战略时,应考虑信息科技风险管理人才的培养和引进问题,选拨既懂信息技术又会风险管理的领导者,培养和引进专业精深、经验丰富的专家,配备一大批信息安全技术骨干;设立专门面向信息科技风险管理人员的业务岗位,拓宽信息科技风险管理人员的职业发展通道; 建立与信息科技风险防范相关的激励和奖惩机制,细化绩效考核制度,变绩效考核为月度绩效考核,改变‚同工不同酬,同酬不同工‛的现象,对在防范科技风险工作中做出突出贡献的人,给予一定的物质奖励;加强培训和教育,使从事信息科技风险管理工作的人既有丰富的专业知识,又有强烈的事业心和责任感,还能承受较强的工作压力,为我行业务发展和科技风险的防控提供强有力的人力保障。