对基层央行科技内控制度执行情况的思考

2005年以来人民银行逐步建立两级数据中心，各重要业务系统逐步向网络化、集中式方向发展，县支行科技工作的重心也随着发生了深刻的变化，由原来的重系统安装，逐步向网络信息系统的安全保障和科技工作的制度化、规范化方向转变，在这种情况下要提高网络信息系统的安全性，能有效地消除潜在的安全隐患，制定一套合理的科技内控制度和配套的操作规程，并彻底贯彻执行，将是保障网络信息系统安全和有效运行的依据。

一、现状分析及存在的问题

云南省科技工作依托科技综合管理网站，以“全省一盘棋”的工作思路为指导，为保障业务工作安全稳定运行，昆中支科技处出台了一系列科技内控制度和配套的操作规程，这些制度的执行也取得了明显的一些成效，但在具体执行过程中还仍然存在一些问题，主要表现在以下几个方面。

(一)科技内控制度建设方面

一是统一规范化进程还待进一步完善。在产品生产过程中遵行标准和规范，可节约总体生产成本，信息安全管理遵行统一规范原则，可以有效提高系统的可维护性，也有利于科技岗位工作移交和统一管理，目前在规范化过程中还存在一些不全面的地方，比如县支行存在着多种操作系统并存的局面，由于操作系统不统一，增加了客户端的管理和系统补丁及时安装的难度，同时，部署防病毒系统和移动存储介质监控系统也增加了难度；二是业务部门与科技部门沟通协调不足，科技内控制度存在政出多门、要求不一致的现象，部分业务系统类内控制度往往只发到下级行对口部门，科技部门经常不了解这些制度，科技人员在系统维护时可能会出现不符合操作要求的情况。

(二)科技内控制度落实执行方面

一是部门信息安全员的工作积极性未充分发挥。支行尽管设置了部门信息安全员和计算机协管员，但由于缺乏培训学习科技知识的机会和本身兼职的原因，对本部门关于科技信息安全的工作积极性不高，比如每个部门都建立了独立的专用杀毒计算机，并发给了手动更新病毒库方法，但部门执行为到位，每次病毒库更新都要计算机专管员来做，未能有效减轻计算机专管员的工作压力；二是重组织建设，轻内控管理。虽然各行都建立了计算机安全管理组织体系，成立了信息安全领导小组，各部门设立兼职计算机安全员，但在日常工作中其作用却没有很好地发挥出来，信息安全管理仍由科技部门单打独斗，尚未形成合力；三是重业务风险，轻信息安全。目前科技工作重心发生了很大的变化，科技工作对业务工作发挥了重要的“支撑、服务、促进、保障”作用，信息安全工作已经成为基层行工作的一条“大动脉”，如果对科技工作仅仅停留在安装业务系统的层次，势必影响科技工作和基层行的整体工作。

(三)科技队伍建设方面

根据昆明中支印发的《云南省人民银行县(市)支行科技工作管理办法》的要求，支行设置了A、B角，但B角由于缺乏科技知识培训学习的机会，科技知识得不到提高，同时由于工作繁忙和岗位兼职的原因，在岗位轮换时有一定难度。

二、提升科技内控制度执行力的建议

(一)树立“以人为本”思想。强化队伍建设

首先从计算机安全领导小组、系统管理员到部门信息安全员乃至业务操作人员都要高度认识到计算机信息安全管理的重要性，自觉加强计算机应用知识及信息安全知识的学习，不断提高自身索质。其次，根据支行实际情况培养2名计算机管理员，以充实基层央行的科技队伍，适应科技岗位制度的调整，并加强对基层行科技人员的技术培训，使其能够为基层行的科技应用提供多层次、全方位、高质量的科技服务。

(二)构建统一高效的科技内控管理制度

一是为进一步加强科技内控管理，构建内控管理长效机制，建议尽快建立全省统一的科技内控制度查询系统平台，实行最新制度的动态更新，从而更好地实施科技日常管理，有效提高科技工作质量和服务水平，二是建立科技岗位内部制约机制。将系统维护与安全管理实现岗位分离，改变一人包揽全行科技管理与计算机安全工作的局面，实现岗位之间相互约束、监督。针对不同岗位的实际情况和可能存在的操作风险，进一步完善相关制度的实施细则，建立严密的岗位分工和明确的工作职责，实行定岗、定责，各司其职，各负其责，确保既相互协调又相互制约。三是进一步明确科技A、B角岗位的权责，要求A、B角都要熟悉所维护的系统，掌握维护技能，并适时进行A、B岗位轮换。

(三)进一步加强对制度落实情况的检查、监督，提升制度的执行力

一方面，为了防范技术人员在各项业务系统维护过程中可能出现的风险和安全隐患，必须严格按照已经制订的制度、办法、规程进行操作，规范科技服务行为。以重要业务系统运行维护、网络管理、信息安全为重点，充分利用技术和管理手段，加强对系统运行的日常监控，认真做好运维记录和日志的登记，逐步形成用制度规范行为、按制度办事、靠制度管人的运行维护工作机制。另一方面，要加强对制度落实情况的检查和监督，并建立健全考核激励机制，实行奖惩。对于制度落实不到位，造成风险的人员要坚决实行责任追究，从而形成内在约束的良好氛围。只有强化制度约束，严格考核机制，做到有章必循，违章必究，令行禁止，才能把内控制度落实到位。

(四)建立有效的科技内控评价标准

面对人民银行业务不断发展变化的形势，首先必须建立健全内控机制，切实加强内部管理，以保证人民银行各项职责的正确履行-其次为了提高科技内控制度的健全性、可操作性、实用性，需要全面地对科技内控制度综合评价，按控制要点是否健全来评价有无失控或控制薄弱环节，从而进一步发现内控方面存在的问题，提出完善内控制度的建议。针对科技内控评价机制缺失或不全面，当务之急是要建立一套客观可行的基本评价标准，为支行自我评估、改进内部控制以及内审部门、纪委监察及其他综合部门开展评价工作提供依据。