【文章內(nèi)容簡介】 息科技發(fā)展現(xiàn)狀o 完成了全省數(shù)據(jù)大集中o 各類業(yè)務系統(tǒng)和管理信息系統(tǒng)不斷豐富 o 更好更快更優(yōu)的服務o 對業(yè)務的支撐作用越來越大o 信息科技地位和受關注程度越來越高 o 信息科技風險日益積聚 信息科技風險的概念o IT風險是指在對信息科技的運用過程中，由于自然因素、人為因素、技術漏洞、管理缺陷產(chǎn)生的操作風險、法律和聲譽等風險。o 特點：風險發(fā)生時影響較大風險出現(xiàn)具有不確定性對風險的估計或防范手段不足對其他風險具有傳導性o 對當前農(nóng)村合作金融機構(gòu)而言，最大的風險是對科技的不夠了解，以至于沒有納入日常管理內(nèi)容。o 信息科技風險管理的目標：通過建立有效的機制，實現(xiàn)對商業(yè)銀行信息科技風險的識別、計量、監(jiān)測和控制，促進商業(yè)銀行安全、持續(xù)、穩(wěn)健運行，推動業(yè)務創(chuàng)新，提高信息技術使用水平，增強核心競爭力和可持續(xù)發(fā)展能力。近年銀行信息科技風險事件o 2007年3月21日，某全國性銀行因主機監(jiān)控軟件存在缺陷，導致業(yè)務交易阻塞，系統(tǒng)癱瘓近4個小時，所有營業(yè)網(wǎng)點無法正常開展業(yè)務。o 8月15日，某全國性銀行對計算機系統(tǒng)進行升級，但由于沒有避開業(yè)務高峰期，導致個人業(yè)務系統(tǒng)運行不暢，業(yè)務辦理速度緩慢，部分代理證券業(yè)務受阻，在持續(xù)5個半小時之后，系統(tǒng)才逐步恢復正常 ；o 12月21日，某全國性銀行因運行中心核心網(wǎng)絡設備出現(xiàn)故障，造成業(yè)務無法正常進行，雖啟動應急預案，但仍然中斷營業(yè)近1個小時；o 08年元月7日，某地方銀行因主干專線的接入設備發(fā)生故障，造成在京117家支行網(wǎng)點柜臺交易緩慢，業(yè)務無法正常進行，故障持續(xù)1個多小時才得以解決。o 06年4月，某大型銀行間組織發(fā)生系統(tǒng)故障，導致所有銀行卡跨行業(yè)務影響8個多小時o 2010年，發(fā)生多起某全國性銀行、地方性銀行、外資銀行、銀行間組織等嚴重信息科技運行事故。監(jiān)管當局VS信息科技風險o 2006年，銀行業(yè)機構(gòu)信息科技風險評價審計通知；o 2007年，落實信息科技風險評價審計整改及自評估工作的通知 o 2008年，發(fā)布《銀行業(yè)重要信息系統(tǒng)應急管理規(guī)范（試行）》； o 2009年，發(fā)布《商業(yè)銀行信息科技風險管理指引》 o 2010年，發(fā)布《商業(yè)銀行數(shù)據(jù)中心監(jiān)管指引》、《銀行業(yè)金融機構(gòu)重要信息系統(tǒng)投產(chǎn)及變更管理辦法》、《銀行業(yè)金融機構(gòu)外包風險管理指引等》目前存在的主要風險及應對措施o 內(nèi)控制度建設不完善，沒有將科技納入日常管理工作范圍二級法人體制下的科技建設矛盾和信息安全管理的矛盾主要業(yè)務平臺和結(jié)算渠道建設完成后,行社將成為特色業(yè)務、產(chǎn)品創(chuàng)新的主要角色信息化快速發(fā)展造成行社科技管理的缺失：對系統(tǒng)功能沒有充分了解，影響業(yè)務管理，如授權(quán)、流程、勞動組合、產(chǎn)品創(chuàng)新o 科技人員不足、內(nèi)部審計的空缺現(xiàn)狀：科技人員的缺乏，法人行社內(nèi)部審計對科技信息風險管理監(jiān)測的缺失措施：未雨綢繆，結(jié)合精英培養(yǎng)工程，制定人才補充、培養(yǎng)計劃內(nèi)部審計部門應配備足夠的資源和具有專業(yè)能力的信息科技審計人員，獨立于本銀行的日?；顒?，具有適當?shù)氖跈?quán)訪問本銀行的記錄充分重視科技隊伍建設，做好人才儲備，關鍵崗位實現(xiàn)A、B崗o 沒有正確認識業(yè)務與科技關系科技的工具作用：引領作用、創(chuàng)新作用科技工具的雙面性：提高生產(chǎn)力水平和風險的隱蔽性、聚集性關鍵工作：業(yè)務規(guī)劃、市場調(diào)研：科技充分介入業(yè)務需求說明書：科學、詳細，業(yè)務為主、科技參與測試：重點關注、運行風險及業(yè)務風險關鍵科技工作特點:風險大、責任大、壓力大科技人員工作軟環(huán)境：理解、認可、支持，科技人員不是電工科技為業(yè)務服務，科技需要走在業(yè)務的前面o 外包風險將是銀行未來主要關注的信息科技風險案例：2006年4月21日，許霆與朋友郭安山利用ATM機故障漏洞取款，許霆被廣州中院判處無期徒刑。2010年5月23日，云南農(nóng)信昆明關雨信用社ATM出現(xiàn)故障，何鵬取1000元，取款機吐出了3700，ATM大方送錢近6萬元。何鵬被抓，判無期，去年最高人民法院又改判為8年6個月。措施：關鍵系統(tǒng)維護必須嚴格管理，制定完善的實施方案，清晰職責、履行審批手續(xù)，雙人操作，換人復核，做好維護記錄。自己的系統(tǒng)自己管，落實制度、不能偷懶，外面的人員更要嚴管o 訪問控制（內(nèi)外網(wǎng)互聯(lián)）案例：2004年，某大學生非法侵入合肥多家銀行的計算機盜取客戶資料，并公布于互聯(lián)網(wǎng)上，對銀行聲譽產(chǎn)生了很大影響，該案是公安部成立網(wǎng)監(jiān)部門后破獲的第一起案件，該罪犯被判處2年徒刑。某銀行員工，采用撥號接入方式，在家中登陸業(yè)務系統(tǒng)，非法竊取資金500多萬。措施：關鍵系統(tǒng)維護必須嚴格管理，制定完善的實施方案，履行審批手續(xù)，雙人操作，換人復核，做好維護記錄。專機專用、內(nèi)外網(wǎng)物理分離、部署檢測工具軟件、不在外網(wǎng)機器存放敏感、涉密信息o 由業(yè)務而導致的科技風險案例：2010年，某大型銀行一分行，提交50000筆代發(fā)工資業(yè)務，隨即又進行取消操作，導致該行計算機系統(tǒng)停止服務20小時，該分行行長被調(diào)離崗位，科技部門負責人受到處分。分析：數(shù)據(jù)修改、批量代發(fā)、中間業(yè)務等，業(yè)務對科技風險具有傳導性。措施：嚴格操作管理，對批量業(yè)務事先做好準備工作。計算機物理環(huán)境風險o 計算機實體安全：資源管理、冗余、防盜、變更、維護 o 機房基礎設施：防火、防水、溫控、冗余 o 機房出入管理：門禁、登記、陪同、監(jiān)控 o 值班與監(jiān)控： o 物理安全域所有設備都要有備份、冗余 銀行卡的種類及功能o 按照能否提供透支功能，銀行卡可分為信用卡和借記卡 o 針對發(fā)卡對象的不同，銀行卡可分為單位卡和個人卡o 按銀行卡的帳號幣種不同，銀行卡可分為人民幣卡、外幣卡和雙幣種卡 o 儲蓄功能、支付結(jié)算功能、匯兌轉(zhuǎn)賬功能、消費信貸功能 銀行卡業(yè)務風險o 銀行卡風險管理的一般原則： o 確定管理目標 o 進行風險評價o 風險控制及處置銀行卡風險管理的原則o 銀行卡業(yè)務特有風險管理原則：o 從上到下的風險管理策略和流程明晰化原則o 深刻理解風險和收益對稱的原則o 應用統(tǒng)計手段和系統(tǒng)化管理的原則o 有效風險管理組織架構(gòu)的原則。銀行卡業(yè)務風險o 銀行卡風險：信用風險、市場風險、操作風險、法律政策風險、聲譽風險o 借記卡風險較低，主要是管理責任，包括：反洗錢、受理環(huán)境保障、風險提示義務 銀行卡業(yè)務風險o 信用風險：是指由于持卡人主觀或者客觀上的原因，違約拒付欠款而產(chǎn)生的壞賬風險，由于信用卡屬于無擔保、無抵押的小額消費信貸產(chǎn)品，因此，信用風險是信用卡業(yè)務的一個最主要損失來源。o 應對措施：做好信用卡申請人員的身份、還款來源的審查工作，系統(tǒng)提供預警機制。o 操作風險：是指由于人員、系統(tǒng)以及業(yè)務流程方面的問題而產(chǎn)生的風險，主要包括欺詐風險、內(nèi)部操作風險、中介機構(gòu)交易風險和系統(tǒng)安全風險。o 欺詐風險又分為欺詐性申請和欺詐性交易。欺詐者盜用他人身份信息而申請開戶信用卡，是欺詐性申請，欺詐者盜取卡片或卡片的信息進行刷卡，是欺詐性交易。o 欺詐風險也是目前最嚴重、危害最大的一類風險。o 應對措施：一是加強本行信息系統(tǒng)安全管理，建立各種交易風險監(jiān)控機制，構(gòu)建數(shù)據(jù)分析和風險