农村信用社信息科技风险管理的思考

银监会副主席郭利根在2007年银行业信息科技风险评价审计座谈会上指出：“相当一部分银行业金融机构对信息科技风险的认识尚处于初级阶段，系统性的研究论证仍然较为缺乏，风险管理水平相对滞后，经验相对不足。”银监会刘明康主席在2007年三季度经济金融形势分析会上指出：“银行业信息科技风险隐患有所凸现。” 农村信用社在农村金融市场起着举足轻重的作用，但其信息系统风险管理能力和风险管理水平却相对滞后，落后的管理必然会增加风险系数，如何为农村信用社找到其适合的风险管理策略，最大限度地防范信息科技风险，充分享受信息科技带来地便捷和效率，对推动农村信用社信息化建设是非常有必要的。

一、全面认识信息科技风险管理的重要性

当前，金融企业对信息技术和信息系统的高度依赖，使得信息系统的安全性、可靠性和有效性直接关系到整个企业的安全和金融体系的稳定。随着我国银行业科技进步的步伐逐渐加快，特别是近两年来银行业信息和数据逻辑集中程度的不断提高，信息科技风险已经成为银行业金融机构稳健运行的又一重要隐患。近年来银行业爆发的一系列与信息科技有关的风险事件，给我们留下了深刻的教训和启示。2006年4月，银联全国跨行交易系统瘫痪6小时，国内大部分商户的POS机无法刷卡，所有银行的ATM终端无法进行跨行操作，以日均量估算，“停刷”阻断交易量246.6万笔，金额1287.7亿元，造成了重大的社会影响，实际损失和由此造成的声誉损失令人痛心。再例如，2007年1月1日，北京工行所有网点系统瘫痪90分钟，2007年5月23日，工行网站出现故障120分钟后恢复，8月15日，工行网银及客服电话大面积故障及拥塞约8个小时。这几起银行业的信息科技事故表明，如果银行系统中断1小时，将直接影响该行的基本支付业务；中断1天，将对其声誉造成极大伤害；中断2-3天以上不能恢复，将直接危及其他银行乃至整个金融系统的稳定。

目前，农村信用社的IT建设正处于高速发展期，在设备规模和技术水平不断提高的同时，信息科技风险管理相对显得十分薄弱。重建设、轻管理，重上档次、轻视风险，重眼前、轻长远的现象是十分普遍。农村信用社迫切需要加快对信息科技风险的清晰认识，抓紧建立统一的信息科技风险管理手段。因此，树立和培养信息科技风险意识，规划落实好信息科技风险管理，是与农村信用社IT治理成效密切相关的重要大事。农村信用社必须充分认识信息科技风险对整体业务和金融体系的影响，全面理解信息科技风险管理的重要性。

一是农村信用社迅速提高创新能力和竞争力的基础。在市场竞争日益激烈的今天，为防止创新产品轻而易举地被竞争对手抄袭，必须提高产品的科技含量，只有具有高技术含量的创新产品才能避免被直接和简单地复制。在产品的创新过程中，每开发一个新产品就有自身的风险管理的重点，都需要迅速敏捷的信息系统予以支持。一个能够充分满足银行业金融机构发展和创新需要的信息科技运营体系是银行业金融机构竞争力建设的重要保障。

二是维护农村信用社金融体系稳定性的需要。现在，IT系统是整个业务的操作平台和运转中枢，一旦出现事故，已经基本上很难恢复到传统的靠手工运转的模式上去。同时信息科技的应用和普及也加快了农村信用社与同业机构和外部市场的风险传导，极大地放大了科技风险的影响范围，一旦农村信用社出现信息科技问题，很可能会威胁到整个金融体系的稳健运行。

二、农村信用社信息科技风险管理的对策

1.逐步建立完善的IT治理结构，合理的IT架构及各项规划。

IT治理是信息化建设及管理方面的科学理论和方法，它是信息系统审计和控制领域的概念，可以指导农村信用社合理利用IT技术，平衡IT技术与流程的风险、增加价值来确保实现农村信用社的发展目标。因此，逐步引入IT治理的各项内容，是信息科技风险管理的大势所趋。农村信用社必须解放思想去学习、借鉴国内一线、二线大型银行在IT治理建设中的经验与教训，专门研究、部署、规划对IT风险的分析、定位、评估和治理。必须站在更高的层次，更深远的思路和更大的投入来对信息科技风险进行管理控制。

2.将信息科技风险、业务风险有效整合，建立统一的风险管理战略 。

我国农村信用社目前采取省级联社－市级联社－县级联社的“三级管理”模式，管理层次多，作为一级法人的县级联社具有一定的资产业务决策权，省级联社对县级联社控制力不足，从而导致银行战略意图从上向下的传导不够通畅。同时目前农村信用社的风险管理大多实施的是风险的分散管理，即不同类型的风险由不同的部门负责，信用卡风险由信用卡中心负责，网上银行风险由电子银行部门负责等。面对新形式下的挑战，农村信用社需要建立统一全面的风险管理战略。这种管理要求将业务风险、信息系统风险等不同类型的风险，都纳入统一的风险管理范围，并将承担这些风险的各个业务单位纳入到统一的管理体系中，对各类风险依据统一的标准进行测量并加总，依据全部业务的相关性对风险进行控制和管理。风险管理部门要通过风险管理规划、制定风险管理政策等方式，实现全社集中的风险管理架构。

3.采用先进的信息技术或工具，提高信息科技风险管理的能力。

随着信息技术的飞速发展，各类金融案件呈现出由传统作案向高科技作案转变的特征。传统作案手法技术含量低，而高科技作案则通过诸如信用卡、网上银行等新型金融工具达到作案目的。因此，农村信用社需要不断追踪技术及管理的最新发展，使信息科技风险管理不断符合技术和管理的发展趋势。利用商业智能技术，对数据进行抽取、集成、转换和综合分析，实现对各类风险的监控和有效管理，这也是国际银行业风险管理信息分析和风险管理决策采用的主流技术。

4.建立IT审计的长效机制。

农村信用社的IT审计，应紧紧围绕信用社的IT技术架构进行，使IT审计能涵盖主要的IT活动范围。建立IT审计的长效机制，由独立的或相对独立的信息系统审计师进行信息系统审计，出具审计报告，才能形成对信息系统的客观评价。IT审计是农村信用社控制信息科技风险的重要手段之一。通过IT审计及时识别风险，完善控制措施，对构建全面的风险管理体系具有现实意义。

（作者单位：山东省农村信用社联合社科技中心）