農村信用社信息科技風險管理的思考

銀監會副主席郭利根在2007年銀行業信息科技風險評價審計座談會上指出：“相當一部分銀行業金融機構對信息科技風險的認識尚處于初級階段，系統性的研究論證仍然較為缺乏，風險管理水平相對滯后，經驗相對不足。”銀監會劉明康主席在2007年三季度經濟金融形勢分析會上指出：“銀行業信息科技風險隱患有所凸現。” 農村信用社在農村金融市場起著舉足輕重的作用，但其信息系統風險管理能力和風險管理水平卻相對滯后，落后的管理必然會增加風險系數，如何為農村信用社找到其適合的風險管理策略，最大限度地防范信息科技風險，充分享受信息科技帶來地便捷和效率，對推動農村信用社信息化建設是非常有必要的。

一、全面認識信息科技風險管理的重要性

當前，金融企業對信息技術和信息系統的高度依賴，使得信息系統的安全性、可靠性和有效性直接關系到整個企業的安全和金融體系的穩定。隨著我國銀行業科技進步的步伐逐漸加快，特別是近兩年來銀行業信息和數據邏輯集中程度的不斷提高，信息科技風險已經成為銀行業金融機構穩健運行的又一重要隱患。近年來銀行業爆發的一系列與信息科技有關的風險事件，給我們留下了深刻的教訓和啟示。2006年4月，銀聯全國跨行交易系統癱瘓6小時，國內大部分商戶的POS機無法刷卡，所有銀行的ATM終端無法進行跨行操作，以日均量估算，“停刷”阻斷交易量246.6萬筆，金額1287.7億元，造成了重大的社會影響，實際損失和由此造成的聲譽損失令人痛心。再例如，2007年1月1日，北京工行所有網點系統癱瘓90分鐘，2007年5月23日，工行網站出現故障120分鐘后恢復，8月15日，工行網銀及客服電話大面積故障及擁塞約8個小時。這幾起銀行業的信息科技事故表明，如果銀行系統中斷1小時，將直接影響該行的基本支付業務；中斷1天，將對其聲譽造成極大傷害；中斷2-3天以上不能恢復，將直接危及其他銀行乃至整個金融系統的穩定。

目前，農村信用社的IT建設正處于高速發展期，在設備規模和技術水平不斷提高的同時，信息科技風險管理相對顯得十分薄弱。重建設、輕管理，重上檔次、輕視風險，重眼前、輕長遠的現象是十分普遍。農村信用社迫切需要加快對信息科技風險的清晰認識，抓緊建立統一的信息科技風險管理手段。因此，樹立和培養信息科技風險意識，規劃落實好信息科技風險管理，是與農村信用社IT治理成效密切相關的重要大事。農村信用社必須充分認識信息科技風險對整體業務和金融體系的影響，全面理解信息科技風險管理的重要性。

一是農村信用社迅速提高創新能力和競爭力的基礎。在市場競爭日益激烈的今天，為防止創新產品輕而易舉地被競爭對手抄襲，必須提高產品的科技含量，只有具有高技術含量的創新產品才能避免被直接和簡單地復制。在產品的創新過程中，每開發一個新產品就有自身的風險管理的重點，都需要迅速敏捷的信息系統予以支持。一個能夠充分滿足銀行業金融機構發展和創新需要的信息科技運營體系是銀行業金融機構競爭力建設的重要保障。

二是維護農村信用社金融體系穩定性的需要。現在，IT系統是整個業務的操作平臺和運轉中樞，一旦出現事故，已經基本上很難恢復到傳統的靠手工運轉的模式上去。同時信息科技的應用和普及也加快了農村信用社與同業機構和外部市場的風險傳導，極大地放大了科技風險的影響范圍，一旦農村信用社出現信息科技問題，很可能會威脅到整個金融體系的穩健運行。

二、農村信用社信息科技風險管理的對策

1.逐步建立完善的IT治理結構，合理的IT架構及各項規劃。

IT治理是信息化建設及管理方面的科學理論和方法，它是信息系統審計和控制領域的概念，可以指導農村信用社合理利用IT技術，平衡IT技術與流程的風險、增加價值來確保實現農村信用社的發展目標。因此，逐步引入IT治理的各項內容，是信息科技風險管理的大勢所趨。農村信用社必須解放思想去學習、借鑒國內一線、二線大型銀行在IT治理建設中的經驗與教訓，專門研究、部署、規劃對IT風險的分析、定位、評估和治理。必須站在更高的層次，更深遠的思路和更大的投入來對信息科技風險進行管理控制。

2.將信息科技風險、業務風險有效整合，建立統一的風險管理戰略 。

我國農村信用社目前采取省級聯社－市級聯社－縣級聯社的“三級管理”模式，管理層次多，作為一級法人的縣級聯社具有一定的資產業務決策權，省級聯社對縣級聯社控制力不足，從而導致銀行戰略意圖從上向下的傳導不夠通暢。同時目前農村信用社的風險管理大多實施的是風險的分散管理，即不同類型的風險由不同的部門負責，信用卡風險由信用卡中心負責，網上銀行風險由電子銀行部門負責等。面對新形式下的挑戰，農村信用社需要建立統一全面的風險管理戰略。這種管理要求將業務風險、信息系統風險等不同類型的風險，都納入統一的風險管理范圍，并將承擔這些風險的各個業務單位納入到統一的管理體系中，對各類風險依據統一的標準進行測量并加總，依據全部業務的相關性對風險進行控制和管理。風險管理部門要通過風險管理規劃、制定風險管理政策等方式，實現全社集中的風險管理架構。

3.采用先進的信息技術或工具，提高信息科技風險管理的能力。

隨著信息技術的飛速發展，各類金融案件呈現出由傳統作案向高科技作案轉變的特征。傳統作案手法技術含量低，而高科技作案則通過諸如信用卡、網上銀行等新型金融工具達到作案目的。因此，農村信用社需要不斷追蹤技術及管理的最新發展，使信息科技風險管理不斷符合技術和管理的發展趨勢。利用商業智能技術，對數據進行抽取、集成、轉換和綜合分析，實現對各類風險的監控和有效管理，這也是國際銀行業風險管理信息分析和風險管理決策采用的主流技術。

4.建立IT審計的長效機制。

農村信用社的IT審計，應緊緊圍繞信用社的IT技術架構進行，使IT審計能涵蓋主要的IT活動范圍。建立IT審計的長效機制，由獨立的或相對獨立的信息系統審計師進行信息系統審計，出具審計報告，才能形成對信息系統的客觀評價。IT審計是農村信用社控制信息科技風險的重要手段之一。通過IT審計及時識別風險，完善控制措施，對構建全面的風險管理體系具有現實意義。

（作者單位：山東省農村信用社聯合社科技中心）