村镇银行信息科技风险管理办法(精选8篇)
村镇银行信息科技风险管理办法 篇1
村镇银行信息科技风险管理办法
(征求意见稿)
第一章 总 则
第一条 为加强村镇银行信息科技风险管理,确保科技体系持续稳定运转,根据《商业银行信息科技风险管理指引》等有关法律、法规,制定本办法。
第二条 信息科技风险管理是通过建立有效机制,实现对银行信息系统风险的识别、计量、评价、预警和控制,推动村镇银行业务创新,提高信息化管理水平,保障村镇银行业务持续平稳发展。
第二章 信息科技风险管理组织架构
第三条 信息科技风险是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。
第四条
发起行科技信息中心是村镇银行信息科技风险的主要管理部门,发起行科技信息中心有以下信息科技风险管理的权限和职责:
(一)建立有效的信息科技风险管理管理架构,完善内部组织结构和工作机制,防范和控制信息科技风险管理;
(二)贯彻执行国家有关信息系统相关法律、法规和技术标准,落实人民银行和银监会相关监管要求;
(三)履行村镇银行信息系统的规划、研发、建设、运行、维护和管理职责,建立、健全村镇银行信息科技风险管理相关规章、制度,并严格执行;
(四)负责村镇银行信息系统的规划、研发、建设、运行、维护和监控等工作,提供村镇银行信息系统日常信息服务和运行技术支持;
(五)负责指导和监督村镇银行科技部门落实有关信息科技风险管理的各项规章制度;
(六)发起行科技信息中心安全科是村镇银行信息科技风险管理的牵头部门,发起行科技信息中心各科室按其职责范围承担相应工作。
第三章 信息科技风险具体控制要求
第五条 信息科技总体风险点是指信息系统在策略、制度、机房、软件、硬件、网络、数据、文档等方面影响全局或共有的风险。包括以下风险点:
(一)缺少信息系统风险管理策略;
(二)自然灾害、运行环境变化;
(三)信息系统相关规章制度、技术规范、操作规程不完善;
(四)信息安全标准化工作不符合国家相关规定;
(五)缺乏信息安全风险评估机制;
(六)数据中心机房物理安全;
(七)使用盗版软件及自有成果的知识产权保护;
(八)电子设备自身运行;
(九)主机与网络运行;
(十)网络安全;
(十一)密码安全;
(十二)数据加密安全;
(十三)信息系统配置参数管理;
(十四)数据管理;
(十五)突发事件响应;
(十六)信息系统故障导致影响银行信誉;(十七)网上银行安全。
第六条 信息系统总体风险控制措施:
(一)根据村镇银行信息系统总体规划,在村镇银行风险管理政策指引下,制定明确、持续的信息系统风险管理策略,根据信息系统的等级保护级别对信息系统进行分析和评估,并实施有效的风险控制;
(二)建立同城信息系统灾备中心实现运行环境备份,防止各类突发事故和恶意攻击事件造成不良后果;
(三)建立健全相关信息科技制度,明确信息系统相关人员的职责权限,建立制约机制,实行最小授权;
(四)严格执行国家信息安全相关标准,参照有关国际准则,积极推进信息安全标准化,开展信息安全等级保护等相关工作;
(五)加强对信息系统的风险评估,及时对风险点进行修补和完善,以保证信息系统的安全性和完整性;
(六)信息系统数据中心机房建设时严格参照国家有关计算机场地、环境、供配电等技术标准,数据中心机房实行严格的门禁管理措施,未经授权不得进入;
(七)加强知识产权保护,使用正版软件,加强软件版本管理;积极研发具有自主知识产权的信息系统和相关金融产品,并采取有效措施保护村镇银行信息化成果;
(八)严格执行与银行信息系统相关的电子设备的选型、购置、登记、保养、维修、报废等相关规程,选用的设备应经过技术论证,测试性能应符合国家有关标准。信息系统所用的服务器等关键设备应具有较高的可靠性、充足的容量和一定的容错特性,并配置适当数量的备品、备件;
(九)严格参照相关标准和规范设计、建设信息系统网络;网络设备应兼备技术先进性和产品成熟性;关键网络设备和线路应有冗余备份;严格线路租用合同管理,按照业务和交易流量要
求保证传输带宽;监测和管理通信线路及网络设备,保障网络安全稳定运行;
(十)加强网络安全管理。严格网络边界控制,使用各种技术手段降低外部攻击、信息泄漏等风险;
(十一)加强信息系统加密机、密钥、密码、加解密程序等安全要素的管理,使用符合国家安全标准的密码设备,完善安全要素生成、领取、使用、修改、保管和销毁等环节管理制度;
(十二)加强数据采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节的管理;优化系统和数据库安全设置,严格按授权使用信息系统和数据库,采用适当的数据加密技术以保护敏感数据的传输和存取,以保证数据的完整性、保密性;
(十三)对信息系统配置参数实施严格的安全与保密管理,防止非法生成、变更、泄漏、丢失与破坏。根据敏感程度和用途,确定存取权限、方式和授权使用范围,并严格审批和登记手续;
(十四)制定信息系统相关应急预案,并定期进行演练、评审和修订;
(十五)加强对技术文档资料和重要数据的备份管理;技术文档资料和重要数据应保留副本并异地存放,按规定年限保存,调用时应严格授权管理;
(十六)在信息系统可能影响客户服务时,及时通知业务部门,以便以适当方式告知客户;
(十七)采取有效技术措施,切实加强网上银行信息安全保
障。加强网银用户身份认证管理,与业务部门密切配合,逐步对所有网上银行高风险账户操作统一使用双重身份认证。积极研发和应用各类维护网上银行使用安全的技术和手段,保证安全技术和管理水平能够持续适应网上银行业务发展的安全要求。
第七条
信息科技研发风险的操作风险点是指信息系统在研发过程中组织、规划、需求、分析、设计、编程、测试和投产等环节产生的风险。包括以下风险点:
(一)信息系统项目研发管理;
(二)信息系统项目开发人员外包;
(三)信息系统项目需求不明确;
(四)信息系统测试不规范或不完善;
(五)信息系统应用推广;
(六)信息系统测试发现的软件缺陷;
(七)信息系统项目文档管理;
(八)信息系统项目验收。
第八条
信息科技研发风险具体控制要求:
(一)一般项目研发成立项目工作小组,重大项目还应成立项目领导小组,并指定负责人。项目领导小组负责项目的组织、协调、检查、监督工作。项目工作小组由业务人员、技术人员和管理人员组成,具体负责整个项目的开发工作;
(二)项目工作小组人员应具备与项目要求相适应的业务经验与专业技术知识,小组负责人需具备组织领导能力,保证信息
系统研发质量和进度;
(三)项目组根据业务部门项目需求编制项目功能说明书,依据项目功能说明书分别编写项目总体技术框架、项目设计说明书,设计和编码应符合项目功能说明书的要求;
(四)软件研发必须建立独立的测试环境,以保证测试的完整性和准确性。一般测试应包括功能测试、安全性测试、压力测试、验收测试等,测试不得直接使用生产数据;
(五)研发人员必须根据测试结果修补信息系统的功能和缺陷,提高信息系统的整体质量;
(六)根据职责范围配合业务人员分别编写操作说明书、技术应急方案、业务连续性计划、投产计划、应急回退计划,并进行演练;
(七)开发过程中所涉及的各种文档资料应经相关部门、人员的签字确认并归档保存;
(八)软件开发项目必须进行严格的项目验收流程,项目验收应出具由相关负责人签字的项目验收报告,验收不合格不得投入使用。
第九条 信息科技运行维护风险的操作风险点是指信息系统在运行与维护过程中操作管理、变更管理、机房管理和事件管理等环节产生的风险。包括以下风险点:
(一)人为因素导致信息系统运行故障;
(二)运行管理不完善;
(三)信息系统日常变更;
(四)新建信息系统运行;
(五)机房环境变化;
(六)信息系统故障报告程序。
第十条 信息科技运行维护风险具体控制要求:
(一)信息系统运行人员应实行专职,不得由其他人员兼任。运行人员应按操作规程巡检和操作。对生产状态的软硬件、数据进行维护应符合授权和维护规程要求;
(二)相关信息系统运行维护人员严格按照信息系统管理制度及维护手册运行及维护信息系统。对软件或数据的维护必须通过上级审批、授权后方可进行;
(三)制订严格的信息系统变更处理流程,明确变更流程中各岗位的职责分工,并遵循流程实施控制和管理;
(四)在信息系统投产后一定时期内,应配合业务部门,积极参与组织对系统的后评价,根据评价及时对系统功能进行调整和优化;
(五)对机房环境设施实行日常巡检,明确信息系统及机房环境设施出现故障时的应急处理流程和预案;
(六)实行事件报告制度,发生信息系统造成重大经济、声誉损失和重大影响事件,应即时上报并处理,必要时启动应急处理预案。
第十一条
信息科技外包风险的操作风险点外包风险是指
银行将信息系统的规划、研发、建设、运行、维护、监控等委托给业务合作伙伴或外部技术供应商时形成的风险。包括以下风险点:
(一)信息科技外包需求控制风险;
(二)信息科技外包承包方合作风险;
(三)信息科技外包项目商业风险;
(四)信息科技外包项目安全风险;
(五)信息科技外包项目质量风险;
(六)信息科技外包项目风险管理;
(七)信息科技外包项目责任风险;(入)信息科技外包项目监控风险。
第十二条 信息科技外包风险具体控制要求:
(一)在进行信息系统外包时,应根据风险控制和实际需要,合理确定外包的原则和范围,认真分析和评估外包存在的潜在风险,建立健全相关规章制度,制定相应的风险防范措施;
(二)建立健全外包承包方评估机制,充分审查、评估承包方的经营状况、财务实力、诚信历史、安全资质、技术服务能力和实际风险控制与责任承担水平,并进行必要的尽职情况调查。评估工作可委托具有国家相应监管部门认定资质、具有相关专业经验的独立机构完成;
(三)与承包方签订书面合同,明确双方的权利、义务,并规定承包方在安全、保密、知识产权方面的义务和责任;
(四)充分认识外包服务对信息系统风险控制的直接和间接
影响,并将其纳入总体安全策略和风险控制之中;
(五)建立完整的信息系统外包风险评估与检测程序,审查管理外包产生的风险,提高本机构的外包管理的能力;
(六)信息系统外包风险管理应符合风险管理标准和策略,并建立针对信息系统外包风险的应急计划;
(七)与信息系统外包承包方建立有效的联络、沟通和信息交流机制,并制定在意外情况下能够实现承包方的顺利变更办法,保证信息系统外包服务不间断的应急预案;
(八)对信息系统外包承包方进行持续的监控。
第四章 附 则
第十三条 各支行可依据本办法,结合本单位实际情况,制定具体实施细则。
第十四条 本办法由村镇银行负责解释和修订。第十五条 本规定自印发之日起施行。
村镇银行信息科技风险管理办法 篇2
一、现状
当前村镇银行在信息化建设及风险管理方面, 一是初步建成信息科技支撑系统, 主要信息系统有核心业务系统、公民身份信息核查系统、人民币银行结算账户管理系统、人行对账系统以及银监局非现场监管报表报送系统。各行核心系统建设模式各具特色, 有依托发起行的模式, 特点是村镇银行直接联网至发起行, 由发起行提供的核心业务系统进行业务处理, 其中银行的核心数据备份、运行管理均由发起行操作, 其自身关注的重点在网络设备、线路及柜面设备的正常运行。有通过外包建立核心系统的模式, 其特点是利用独立的简易核心业务系统处理业务, 系统一般从外包公司购买, 数据备份、日常运维操作一般由银行完成。二是初步建立信息科技管理制度。各行均制定了部分信息科技管理制度及操作流程, 部分银行在制定内控管理制度时, 将信息科技管理及安全管理等内容涉及其中。三是初步具备了信息科技风险意识。村镇银行正积极落实监管政策, 部分银行已按照银监会《商业银行信息科技风险管理指引》制定了各项信息科技风险控制策略和各种应对措施, 并逐一落实。
二、风险与存在的问题
村镇银行当前的信息化建设在一定程度上支撑了目前的业务发展, 但从长远看却依然是制约业务深入全面发展的短板, 主要存在以下问题和风险。
(一) 信息科技支撑不足与机构业务发展之间矛盾突出, 信息化战略风险凸显。
目前村镇银行支撑业务运转的信息科技建设与传统银行相比严重落后, 难以保证其健康运行和快速发展, 形成了村镇银行发展的战略风险。一是系统支撑能力不足。部分银行未加入人民银行大小额支付系统和财税库行横向联网系统, 大量小微企业因无法进行开户代扣税等原因对其“望而却步”。村镇银行无法并入银联银行卡网络、无法提供网上银行服务等电子化服务渠道又直接“屏蔽”了客户需求, 难以适应随着农村信息化建设深入推进农民日益迫切的新兴电子化金融服务或产品需求。二是信息科技投入不足, 一方面部分设备老化、性能较差, 未达到重要设备及系统的双机要求;另一方面内部技术人才稀缺, 且技术水平和实践经验也相对不足, 难以胜任地方特色中间业务的开发任务。
(二) 信息科技发展意识淡薄, 治理架构不到位。
一是信息科技发展意识不到位, 村镇银行管理层目前关注点仍立足利润、收息、不良贷款等传统经济效益指标, 对信息化建设的效益潜能重视不足。二是多数村镇银行未形成有效的信息科技治理架构, 科学性、规范性决策欠缺。部分村镇银行对信息化建设模式缺乏有效的成本效益分析, 在已有的众多信息化建设模式中, 各行并未结合自身特点选择最符合自身需求的模式。
(三) 信息科技基础设施薄弱, 存在业务连续性风险。
一是系统运行稳定性较差, 部分银行核心系统刚开发投入使用不久, 需要经常进行补丁更新和升级。二是系统安全性较差, 核心数据安全无法保障。银行自行采购的核心系统较为简易, 安全控制措施不到位;部分银行数据备份周期过长、备份方式落后, 备份介质存放环境差且未进行异地存放;部分银行核心数据完全依托发起行备份管理, 存在数据泄密隐患。三是业务连续性风险隐患大。村镇银行普遍未建立专业的机房, 科技设备及系统运行整体环境较差, 核心系统及网络设备普遍为单机, 网络线路普遍为单线路, 管理人员为单人, 业务中断风险严重。
(四) 信息科技对外依赖性强, 外包风险突出。
村镇银行由于自身科技力量不足, 信息化建设严重依赖外部, 从系统开发上线到运行管理维护等各个环节都依赖外包公司或发起行的支持。各行在未与外包商或发起行签订明确的服务水平协议的情况下, 普遍缺乏对外包商或发起行科技管理维护人员的有效制约机制。外包公司倒闭、开发断层、项目研发延续性不足、服务响应时间长等外包风险都对银行信息化建设发展提出挑战。同时, 银行自身力量薄弱及对外部的过度依赖使得系统的后续开发期限与成本不可预测, 随着银行业务规模的扩大, 银行后续特性化需求将不断增加, 此时, 银行面对核心系统供应商将处于弱势地位, 将失去后续开发期限和成本话语权, 这将成为制约各行后续信息化建设发展的瓶颈。
(五) 约束机制不到位, 存在信息科技操作风险及案件隐患。
村镇银行整体科技人员不足, 各类约束制约机制不到, 使得各村镇银行在信息科技方面普遍存在操作风险及案件隐患。部分村镇银行在信息科技管理方面较为粗放, 部分银行未制定完善的信息科技管理制度及操作流程, 部分银行虽已制定相关的制度和流程, 但由于人员不足及管理不到位等原因, 制度执行不到位。在银行只有一名兼职科技人员的情况下, 信息科技运行中的单人操作现象大量存在;同时, 科技人员权限过大, 数据备份、系统管理、安全管理等职责集于一身, 这都为操作风险及案件发生创造了可能性。
三、政策建议
当前乃至未来一段时期内, 新的村镇银行仍将大量出现, 现有村镇银行也将继续发展壮大, 在此过程中, 能否处理好信息科技与业务发展的关系至关重要。基于此种考虑, 我们提出以下建议。
(一) 立足长远, 以科技驱动业务发展并提升管理水平。
村镇银行应立足长远, 在发展中树立科技先行的理念, 不仅将信息科技作为支撑, 并且把它作为引领业务实现跨越式发展并最终走向成熟的引擎, 切实以科技驱动业务发展并提升管理水平。一是董事会及高管层应提高对信息科技的认识, 理顺信息科技与业务发展的关系。二是加大人财物投入, 长远、科学合理规划信息科技发展。三是在信息科技方面建章立制, 加强执行力建设, 以规矩成方圆。
(二) 因地制宜, 量身选择信息化建设发展模式。
当前村镇银行信息化建设模式比较典型的有三类:一是自建模式, 可紧贴自身业务需求开发完全“合身”的信息系统, 数据和信息的安全性相对较高, 但对资金成本和技术力量要求高, 比较适合资金规模较为雄厚、人力资源相对丰富、技术实力较强的村镇银行。二是外包第三方专业公司模式, 如河南西平财富村镇银行将整个业务系统放置于神码融信在西安的数据中心, 由神码搭建相关信息系统, 村镇银行通过专线远程登录使用系统。此模式前期投入低、无需专门技术人员、对村镇银行的技术力量基本无要求, 但较难完全适合自身需求, 对敏感数据难以掌控, 风险隐患较多。三是外包给发起行模式, 其无需前期投入和另行配备技术人员, 系统建设周期短, 能够快速摆脱科技力量薄弱、技术水平低的困扰, 且由于是利益共同体, 数据安全问题能够保证且易实现村镇银行的个性化需求。村镇银行应结合自身实际情况及资金、人员等条件, 全面进行成本效益分析, 选择一种既节约成本又能有效支持未来业务发展的模式, 并据此制定切实可行的信息化发展规划。
(三) 防患未然, 将信息科技风险管理纳入整体风险管理框架。
商业银行的信息科技风险管理 篇3
关 键 词: 商业银行;信息科技;风险管理
中图分类号: F830.33 文献标识码:A 文章编号:1006-3544(2013)05-0031-02
一、商业银行信息科技风险
在信息技术与银行业务深度融合的今天,信息科技风险事件往往涉及范围广、客户多、金额大,在给银行造成经济损失的同时,也会带来很大的声誉损失。银监会前主席刘明康曾表示:“如果银行系统中断1小时,将直接影响该行的基本支付业务;中断1天,将对其声誉造成极大伤害;中断2~3天以上不能恢复,将直接危及其他银行乃至整个金融系统的稳定。”因此,可以毫不夸张地说信息科技安全运行和健康发展是银行业务正常开展的重要保障和基本前提, 关乎银行声誉、金融安全和社会稳定。表1显示了近年来商业银行发生的几起典型信息科技风险事件。
根据中国银监会发布的《商业银行信息科技风险管理指引》,信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。在巴塞尔新资本协议体系中,信息科技风险被视为操作风险的一种。它具有区别于一般操作风险的特殊性:(1)风险因素复杂,大量使用外包和新技术使得风险控制的复杂度大幅提高。(2)潜伏性、偶发性和不确定性突出。比如,通过充分风险论证的生产系统,短期内无风险隐患,而随着生产环境的压力逐步扩大, 系统的脆弱性就会逐步暴露;一个具有很高安全性的电子银行,随着病毒的不断变种,黑客技术的提高,新的安全问题就会出现。(3)信息科技风险一般不直接造成经济损失,其造成的间接损失难以计量且极可能引发声誉风险。(4)影响范围广。单个信息系统的故障就可能影响银行多项业务。 在银行数据大集中的形势和背景下,信息科技风险也趋于集中,成为惟一能使银行瞬间瘫痪的风险。
从国内的监管导向看,笔者认为信息科技风险管理有两个重要的目标:一是保证银行业务的稳定和连续;二是保护客户信息安全。如果不能实现这两个目标,则可能引发直接或间接的经济损失以及声誉风险和法律风险。
二、信息科技风险的影响因素
从前述信息科技风险管理的两个目标出发,可以通过分析影响目标实现的因素来了解引致信息科技风险的原因。影响银行业务的稳定和连续的因素主要有软硬件故障、人员误操作、关键人员离岗、系统超负荷运行、网络瘫痪、电力中断、病毒传播、应用系统及版本出现异常、数据缺失或丢失、外包服务不到位、自然灾害或人为损坏设备、缺少业务连续性计划、灾备基础设施不健全、日常应急演练不充分,等等。影响客户信息安全的因素主要有内部人员利用流程、权限漏洞盗用客户数据;外部人员运用技术手段侵入系统盗用客户信息;内外勾结盗用客户信息、外包服务商泄密等等。
以上这些因素在巴塞尔新资本协议中也有相关的描述。巴塞尔新资本协议对操作风险的损失事件形态分为7个类型,吴博(2010)将其中与信息科技风险的损失事件有关的三个类型整理后大致覆盖了引发信息科技风险的因素,见表2。
当然,上述这些影响信息科技风险管理目标实现的因素仍只是引发信息科技风险的中间变量,其本身也可被视作信息科技风险的表现形式。透过这些表现可以很容易发现管理不到位才是导致信息科技风险的最根本原因。
从实践来看,近年来信息科技快速发展有力支持了商业银行各项业务的快速扩张。但同时,管理、运行维护跟不上的矛盾也日渐突出,“重建设、轻管理、重开发、轻运维”的现象较为普遍。有监管部门研究表明,近年来发生的信息科技风险事件中,多数事件发生都源于制度不健全、流程不完善、落实不到位,很少有纯粹技术原因引发的事件。因此,可以说管理到位是防范信息科技风险的关键。
三、信息科技风险管理措施
信息科技风险管理应贯穿于信息科技工作的全流程,涉及到信息科技风险管理的“三道防线”,需要由信息科技部门和各业务部门共同完成。具体管理措施如下:
1. 完善风险治理架构,各司其职。构建和完善信息科技风险管理的三大防线,即信息科技管理、信息科技风险管理、信息科技风险审计,从三个不同角度、不同纬度,对风险进行立体防控。需要注意的是三大防线的安排不应是简单的对应信息科技风险管理的事前、事中、事后三阶段,风险管理部门、审计部门应积极参与到业务连续性计划制定、应急演练、系统开发、外包管理等信息科技日常风险管理工作中,实现风险管理的前移。
2. 健全管理制度体系,重在执行。建立、健全信息科技管理制度和业务操作流程并认真执行。制度建设要从新产品上线或新系统投产前开始,要建立完善的上线或投产方案以及上线或投产后相关的管理制度和业务流程,并制定回退机制或应急预案以应对意外情况。同时,要积极研究各类信息安全风险案例,总结归纳新的风险点,有针对性地完善制度。要建立制度执行的监督评价机制,商业银行的董事会、监事会、高级管理层以及审计部门要切实监督评价信息科技各项制度的执行情况,对制度执行不到位的责任人要进行问责或处罚。
3. 合理规划系统资源, 未雨绸缪。(1) 纵向规划发展进度。在系统规划设计阶段就要评估能否满足未来较长时间的业务需求,合理安排系统升级、版本切换等工作。(2)横向匹配系统资源。在系统资源短期内不变的情况下,合理分配资源,通过系統分级,将资源优先分配给等级高的系统以保障重要系统的稳健运行。
4. 密切监测系统运行,防患未然。通过技术平台对信息系统的运行状况进行全程监控。一、二级骨干网是否畅通、网点终端和自助设备是否运行正常、应用系统是否正常服务、是否有异常交易、网络是否遭到非法入侵等,都必须纳入实时监控范围,以确保在第一时间发现问题和风险点,及时采取应对措施,防患于未然。
5. 落实业务连续计划,加强演练。要在全行层面建立和完善可操作性强、覆盖各信息科技系统的业务连续性计划和应急预案,包括业务恢复机制、风险化解和转移措施、数据备份以及应对媒体的统一策略等。针对新发生的突发事件以及新发现的薄弱环节,要及时对预案进行总结更新。加强应急预案演练,以保障银行在突发重大事件面前,能从容应对,迅速恢复生产运营,尽可能降低损失。
6. 推进科技队伍建设,提升能力。首先,要明确岗位职责,因岗定人,岗位匹配,并落实岗位制衡。其次,要完善激励约束机制,以激发员工的主观能动性,并使科技队伍保持基本稳定。最后,要加强培训,培养员工风险防范意识和风险防范能力,提高员工的信息科技业务水平。
村镇银行信息科技风险管理办法 篇4
近年来,随着信息技术的飞速发展,我国银行业信息化程度越来越高,对信息科技的依赖程度显著增强,同时,银行机构对信息科技风险防范不足,管理相对薄弱,信息安全问题不断出现,造成的后果越来越严重。信息科技规模的快速扩大和信息科技风险的管理相对薄弱已成为银行业面临的突出矛盾之一,加强信息科技风险管理已刻不容缓。
一、我国银行业信息科技风险管理整体情况
人民银行行长助理李东荣在第八届科技工作座谈会上指出,我国银行业科技风险管理仍处于初级阶段。虽然各银行在科技风险管理的组织结构、策略、及流程方面有较大差异,但对科技风险管理的重要性和紧迫性都有了清醒的认识。信息科技风险作为金融风险的重要组成部分逐渐引起监管部门和银行机构的高度重视。
2008年7月,银监会颁发了《银行业金融机构信息系统安全保障问责方案》,明确各银行的法定代表人为本单位信息系统安全保障的第一责任人,并要求逐级签订信息系统安全保障责任书。2009年,银监会颁布了《商业银行信息科技风险管理指引》,从信息科技治理、信息科技风险管理、信息安全、信息系统开发测试和维护、信息科技运行、业务连续性管理、外包、内部审计、外部审计等方面,对商业银行信息科技风险管理工作提出了全面要求,成为各银行机构加强信息科技风险管理工作的指导性文件。银监会还将银行的信息系统纳入现场和非现场监管,大力开展信息科技风险现场检查,对银行的信息科技风险防范工作提出了更高的标准和要求。2011年,银监会成立了银行业信息科技风险管理高层指导委员会,专门研究银行业信息化建设和信息科技风险管理等重大问题,加大对银行业科技风险管理高层指导的力度。人民银行通过召开信息安全相关会议、进行信息科技风险评估、发布信息安全风险提示等形式,督促各银行机构做好信息科技风险防范工作。2011年12月,人民银行召开第八届科技工作座谈会,专题研讨了银行业科技风险管理问题。
国内各大银行在加快信息化建设的同时,也加大了信息科技风险管理的力度。工商银行将信息科技风险管理纳入了全行的全面风险管理体系,并作为一个重要领域进行管理,内容涉及科技治理、生产运行、应用研发、信息安全等四个方面;成立了信息科技管理委员会,把审议信息科技风险管理和信息安全管理工作列为主要职能之一,董事会及全行风险管理委员会每年审核信息科技风险管理报告。农业银行大力推进以组织体系、制度体系、技术体系为主要内容的信息科技风险管理体系建设,开展了面向软件开发、运行管理、数据安全管理、基础架构管理、IT治理等五大领域的信息科技风险管控工作。建设银行构建了‘三个层面,三道防线’的信息科技风险管理组织体系,建立了双线汇报、双重考核机制,大力开展信息科技风险评估和IT审计工作。交通银行成立了信息安全保障领导小组,建立了一支IT专职信息安全员队伍,建立了信息科技风险的检查、评估、监测、报告机制。
二、我行信息科技风险管理的现状
‚十一五‛期间,随着我行信息化建设实现又好又快跨越式发展,信息安全保障体系已初步建立,风险防控水平在实践中不断提高。一是组织机构建设取得突破。总行成立了信息化建设委员会并制订了《信息化建设委员会工作规则》,明确了职责和工作流程。信息化建设委员会由行长担任主任委员,分管行长和有关部门负责人分别担任副主任委员和委员,负责制定和审议信息化建设发展战略规划,审议重大信息化建设项目和事项。信息化建设委员会下设信息化建设项目实施审查小组,委托业务和技术专家审查信息化建设项目的可行性和潜在风险,审议项目立项、实施、上线、运维、需求变更等重要事项。各省级分行成立了信息化建设领导小组(委员会),负责领导本级行信息化建设工作。这是我行科技治理上的一次飞跃,在实践中发挥了显著的作用。
二是管理模式不断优化。一是总行按照‚管理、运维、研发‛分离的原则,分别设立信息技术部(后更名为信息科技部)和营运中心,建成了软件研发和灾备中心,并进行了科学分工,从管理体制上防范了信息科技风险。二是实行“自主研发、合作研发与外包研发相结合”的研发机制,通过多条腿走路的方式,我行信息系统建设快速跟上了业务发展和强化管理的步伐。三是探索重要信息系统的常态化升级模式,对核心系统加强需求整合,今后将逐步形成稳定的持续优化、常态化升级和问题解决模式。
三是制度建设稳步推进。‚十一五‛期间,我行建立了应用系统风险提示和重大问题报告制度、系统维护月度工作报告和联席会议制度,制定了重要信息系统等级保护办法、信息系统突发事件应急管理办法、综合业务会计应用系统总行中心突发事件技术应急处理预案、综合业务系统应用软件运行维护工作规程、软件合作开发跟踪与控制管理办法和省级分行软件研发管理办法等一系列制度规 范,信息科技风险防范的制度体系初步建立。信息化建设‚十二五‛规划确立了安全优先的原则,对信息科技风险防控提出了明确的要求。
四是基础建设和技术保障不断加强。一是建成了同业领先的‚两地三中心‛灾备系统,有效保障了业务连续性。二是实施了省级分行、二级分行机房规范化建设,部署了总行数据中心集中监控系统、省级分行和二级分行机房预警监控系统,部署了生产网、办公网、外联网防病毒系统和网络入侵检测系统,通过以上措施,从基础设施、设备、网络等方面有效防范了信息科技风险。三是开展了信息安全检查,每年对各级行进行风险评估、隐患排查,并督促整改,提高了全行对信息安全工作的重视程度和工作力度。四是实施了解决一代支付系统单点故障项目,并为省级分行更换了支付系统前臵机,从而实现了省级分行前臵机与总行支付系统主机、总行支付系统主机与综合业务系统主机连接均为双机热备模式,解决了我行支付系统存在的安全隐患。
目前,我行在信息科技风险管理方面还存在一些不足,主要表现在:缺乏信息科技风险管理的总体规划和策略;机构设臵和人员配备不能满足需要,信息科技风险防范职能还需强化;制度规范标准的制定相对滞后,没有达到全覆盖,尤其缺少完善的具有针对性和可操作性的应急预案;风险防范的技术手段还不完善,某些环节需要加强;缺少信息科技风险管理的专家级人才。
三、加强和改进我行信息科技风险管理的建议
总体思路是:提高认识,树立信息科技风险管理理念;健全信息科技风险管理机制,推进组织体系、制度体系和技术体系建设; 加强信息系统生命周期的全过程风险管理,突出抓好重点环节的风险管控;重视队伍建设,为信息科技风险管理工作提供强有力的人力保障。
(一)提高认识,树立理念
过去,信息科技风险的重要性是随着信息化建设的发展逐渐被认识的,因此,信息科技风险管理工作被动滞后,水平不高。今后,随着银行业应用系统的横向整合和数据的纵向大集中,小的疏漏和失误往往会产生‚蝴蝶效应‛,诱发重特大信息安全事故,因此,要坚持科技发展和风险管理并重的原则,把信息科技风险管理工作提高到战略高度、全局高度,做到科学筹划、总体布局、注重细节;将信息风险控制前移,把风险管控贯穿于信息化建设的全过程,将技术防范为主的被动信息安全工作,转变为以预防为主的主动信息科技风险管控;信息科技风险管理工作不是单一的技术工作,不止是信息科技和营运管理部门的工作,而是一项全行性的工作,各级行和各部门‚一把手‛应对信息安全工作负主要责任,业务、信息科技、营运、风险、审计、法律合规等部门应共同推进、共担风险,树立安全优先、稳中求进的理念。
(二)完善组织体系,强化职能
虽然我行已经建立起信息科技治理的组织机构,但还处于探索阶段,需要在实践中不断完善。例如,现有的信息化建设委员会工作规则中没有突出强调信息科技风险防范,只是在信息化建设项目实施审查小组的职责中要求专家组对项目实施的业务和技术风险进行审查,在实际操作中,由于风险审查是在立项阶段,此时还没有一个完整的业务需求和技术方案,业务和技术风险审查被进一步弱 化。总行风险管理部提出了全面风险管理体系建设的指导意见,并成立了总行风险管理委员会,但在指导意见中,只提到了IT风险(‚指我行在业务经营中,运用IT技术有缺失所产生的风险‛),而信息科技风险是指在运用信息科技过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的风险,显然范围更为宽泛,也更符合我行的实际。信息科技风险管理在风险管理委员会工作规则中也没有突出强调。
为了突出和强化信息科技风险管理职能,加强对信息科技风险管理工作的组织领导,总行可在信息化建设委员会下设立信息科技风险防控领导小组,专门负责信息科技风险防范机制的建设,制定信息科技风险防范策略、规划,协调信息科技、营运、风险、内审、法律等部门的风险防控工作,组织和领导重大信息安全事故的应急处臵工作,每年审阅并向银监会报送信息科技风险管理的报告。总行信息科技部设立信息安全管理处,负责信息科技风险防控领导小组的日常工作并督促落实审议通过的事项,起草信息安全相关制度、规范,制定应急预案、技术方案,负责信息科技风险监测、检查、评估、报告和整改,负责重大信息安全事故应急处臵的具体工作。各级分行、支行设立专门的信息科技风险管理岗位,履行相应的职能。总行风险管理委员会可听取信息科技风险防控领导小组关于信息科技风险管理工作的专题报告,并将其纳入我行全面风险管理总结报告中,同时对信息科技风险防控领导小组的工作提出指导性的意见和建议。内部审计部设立专门的信息科技风险审计岗位,负责信息科技审计制度和流程的实施,制订和执行信息科技审计计划,对信息科技整个生命周期和重大事件等进行审计,对审计报告 进行确认并落实整改。法律合规部加强信息科技工作中有关法律和合规性审查,防范法律风险。
(三)完善制度体系,狠抓落实
建立完备的信息科技风险防范制度体系,就是制定一整套覆盖信息科技工作全流程、涉及信息科技工作各方面的办事规程或行为准则,以此规范和约束人的行为,达到防控信息科技风险的目的。
信息科技风险防范制度体系包括纵向三个层次和横向九个方面的制度规范。三个层次是指规划策略层、管理制度层和操作规程层。九个方面是指科技治理、基础建设、软件研发、系统运维、数据管理、设备管理、网络管理、人员管理和应急管理。规划策略是由总行(信息科技风险防控领导小组)制定的,关于信息科技风险防范的总体思路、目标、计划、要求和实施策略,与我行业务发展规划和信息科技总体规划保持一致。管理制度是相关部门(业务部门、信息科技部、营运中心、风险管理部、内部审计部等)为履行信息科技风险管理职责制定的各项制度,是规划策略在各个方面的具体体现。操作规程是针对具体系统、岗位和角色制定的工作程序和具体要求,是管理制度的细化。
制度体系建设需要把握几个环节,一是制度调研。学习国内外同业的先进经验及做法,结合我行的实际情况有选择的借鉴;对我行现有的制度进行梳理,并根据我行信息化建设发展需要和科技风险防控要求,提出制度增加、修改、废止建议。二是制度制定。制度起草前广泛征求专家意见,集思广益,把先进的经验和理念融入 到制度中;注重制度架构设计,避免制度缺失和重叠;严格制度评审和颁布,保证制度的权威性。三是制度执行。进行制度的宣传和必要的培训,使相关人员和部门知道有章可依,增强照章办事的意识;加强制度执行情况的监督和检查,狠抓落实,采取奖惩等措施增强执行力。四是制度完善。在制度执行的过程中,及时发现制度中的漏洞和缺陷,采取有效措施(如:发布补充规定、相关说明等)进行修补;当制度的具体内容已不符合现实情况时,应重新修订;针对新上线的系统或新增的工作内容,都要及时制定相应的制度规范或应急预案加以管理。
(四)完善技术保障体系,抓好重点环节。
信息科技工作本身就是技术性很强的工作,信息科技风险管理涉及信息科技工作的方方面面,每一项具体工作的落实都离不开专业技术的保障。完善技术保障体系,就是要在信息科技风险管理工作的各个方面、各个环节加强先进技术手段的运用,提高技术应用水平,注重技术创新性研究,充分发挥信息技术在信息科技风险防范中的重要作用。目前,我行在软件研发、机房建设、网络建设、灾备系统建设、运行监控等方面均采用了较高的技术标准和先进的技术手段,提高了风险防范的水平,但在应急管理、风险评估、审计监督环节上还有待加强。
一是应急管理。我行目前的应急管理工作存在较大风险隐患,须引起高度重视,主要表现为应急处臵预案不完善、不全面,没有涵盖所有系统,有些内容一直没有经过应急演练验证。随着我行应 用系统的不断增多,相应的管理制度和应急预案应及时配套出台,应急预案要加强针对性和可操作性,要明确应急领导机构、人员、职责、设备、流程、要求等内容要素,要特别注重加强与我行业务部门以及消防、通信、电力行业部门的沟通配合,善于利用日常系统维护、调试、改造以及新系统上线等机会相机进行跨部门、跨机构甚至跨区域的实战演练,在应急演练中不断改进应急预案。
二是风险评估。我行每年都要开展信息安全检查工作,虽然在一定程度上促进了信息安全防控工作。但是,由于多方面原因,安全检查只限于局部,风险隐患依然难以摸清,全面风险评估工作应该提上议事日程。全面风险评估的目的就是查找我行信息科技工作中存在的风险隐患,确定风险等级及整改措施,未雨绸缪,防患于未燃。首先要制定评估指标体系,制定评估的计划、方法和手段,其次对系统设计、开发、测试、运维全流程,对机房、网络、设备、供应商等多个方面,对性能和容量规划、可用性、可靠性、安全性、可维护性、操作性、产品及服务等全方位评估,梳理出风险点,最后评价风险点对业务的潜在影响,对风险点进行排序,并确定风险防范措施及所需资源的优先级别(包括人力、财力、外包供应商、产品供应商和服务商)。
三是审计监督。如果说基础设施建设、软件研发、系统运维中的风险控制是信息科技风险管理的第一道防线,安全检查、风险评估和监测是第二道防线,那么信息科技审计就是信息科技风险管理的第三道防线。信息科技审计就是审计部门或机构对信息安全控制 措施是否完备所做的鉴证过程,可分为内部审计和外部审计。内部审计是由内部审计部实施,内容包括制定、实施和调整审计计划,检查和评估信息系统和内控机制的充分性和有效性,在此基础上提出整改意见并检查落实情况,根据风险评估结果对认为必要的特殊事项进行信息科技专项审计。内部审计范围和频率应根据业务性质、规模和复杂程度,信息科技应用情况,以及信息科技风险评估结果而决定,至少应每三年进行一次全面审计。外部审计是指在符合法律、法规和监管要求的情况下,委托具备相应资质的外部审计机构进行的信息科技审计。信息科技审计监督,是独立于信息系统本身、信息系统开发、运维和使用之外的一项工作,客观公正,对防范信息科技风险具有极大的意义。
(五)加强队伍建设,增强可持续发展能力。
村镇银行信息科技风险管理办法 篇5
(征求意见稿)
第一章
总 则
第一条 为加强村镇银行计算机信息系统的保密管理,确保国家秘密的安全,根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、《计算机信息系统国际互联网保密管理规定》等有关法律、法规,制定本办法。
第二条 本办法适用于村镇银行系统采集、存储、处理、传递、使用、输出和销毁涉及国家秘密的通信、办公自动化和计算机信息系统(以下简称“涉密计算机信息系统”)。
第二章 组织与职责
第三条 村镇银行科技部门负责对村镇银行计算机信息系统保密工作进行工作指导、协调。科技部门牵头成立计算机安全检查小组负责具体计算机信息系统保密的检查工作。
第四条 村镇银行计算机信息系统的保密管理坚持“业务谁主管,保密谁负责”的原则。即特定计算机信息系统的保密管理工作由村镇银行或支行主管该系统的部门或岗位承担。
第五条 计算机信息系统的保密管理工作,应主动接受国家有关保密部门的业务指导和监督。
第六条 计算机信息系统的业务负责部门应协助计算安全检查小组,定期组织开展要害部门和重要岗位计算机信息系统的保密技术检查,发现问题应及时整改。第七条 涉密计算机信息系统的使用部门应加强员工保密知识的学习教育,严格执行有关保密管理规定,协助村镇银行科技部门做好涉密计算机信息系统的日常管理工作。
第八条 涉密计算机信息系统工作人员的职责要求:
(一)选配涉密计算机信息系统管理人员应按国家有关规定进行严格审查,岗前保密培训,并保持相对稳定;
(二)涉密计算机信息系统工作人员应严格执行有关保密管理规定和操作规程;
(三)涉密计算机信息系统工作人员应自觉接受村镇银行保密部门的监督检查。第九条 各支行和员工发现下列问题应及时采取补救措施,并报告保密部门。
(一)发现保密方面的漏洞和隐患;
(二)发现违反有关保密规定的行为;
(三)发现泄密事件。
第三章 系统规划建设
第十条 涉密计算机信息系统在使用前,必须报村镇银行保密管理部门审批,审批办法依照中保委《涉及 国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》(中保办发[1998]6号)执行;已投入使用而尚未经过审批的涉密计算机信息系统,要按上述办法补办审批手续;未经审批或审批不合格的涉密计算 机信息系统不得投入使用。
第十一条 规划和建设涉密计算机信息系统,应同步规划建设相应的保密设施。第十二条 涉密计算机信息系统的规划、研制、安装和使用,均必须符合保密要求。
第十三条 安装、使用涉密计算机信息系统的场所,应按国家有关规定,与办公驻地、人员住所保持相应的安全距离,并根据处理信息的涉密程度设立必要控制区,无关人员不得进入。
第十四条 安装、使用涉密计算机信息系统的场所应采取有效的安全保密措施,有关设备的技术措施 应得到国家保密部门或有关主管部门的认可,其他物理安全要求均应符合国家有关保密标准。
第十五条 保密部门应定期组织对安装、使用涉密计算机信息系统场所的保密技术检查。
第十六条 保密部门应依照有关法规和标准对建设中的涉密计算机信息系统进行保密监督和技术检 查。
第十七条 在采购计算机安全产品时,其产品必须有国家安全管理部门颁发的许可证,选购的密码产 品应符合国家有关主管部门对普密、商密管理规定。
第四章 涉密信息管理
第十八条 存储涉密信息的计算机媒体介质(包括软盘、硬盘、光盘、U盘等),应按所存储信息的 最高密级标明密级,并按相应的密级进行管理;对不再使用的媒体介质应送交保密部门及时销毁。
第十九条 涉及国家秘密和村镇银行商业秘密的信息,不得在与国际互联网相联的计算机信息系统中编 辑、存储、运行、传递、发布,确保信息的机密性、完整性和可用性。
第二十条 上网信息的保密管理实行“谁上网谁负责”的办法。各级行应根据国家保密法规,实行上网信息保密审批领导责任制,提供主页制作服务的单位,要对自己制作的主页承担具体保密责任。
第二十一条 涉密信息必须按照保密规定进行采集、存储、处理、传递、使用和销毁,应当符合下列 要求:
(一)计算机信息系统存储、处理、传输、输出的涉密信息要有相应的密级标识,密级标识不能与正文分离;
(二)涉密信息在存储、传输中,必须采取加密措施,防止信息非授权泄露;
(三)使用加密措施应当与涉密信息的密级相同,并得到有权部门认证;
(四)涉密信息的复制、分发、输出必须得到有效的控制,并按相应密级的文件进行管理;
(五)涉密信息的销毁必须有效且不可恢复。
第二十二条 凡使用电子邮件进行网上信息交流的,应当遵守国家和村镇银行有关的保密规定,不得转发、传递或抄送国家秘密和村镇银行商业秘密信息。第二十三条 涉密信息的数据库必须有与涉密信息密级相适应的安全保密措施,确保涉密信息在建 库、检索、修改、输出等环节的保密。
(一)用身份验证方法对用户注册和鉴别;
(二)对不同用户设置不同的用户权限,控制用户对数据的操作权限和访问范围;
(三)建立系统日志和数据备份。
第五章 系统管理
第二十四条 涉密计算机信息系统,不得直接或间接与国际互联网或其他公共信息网络联接,必须实行物理隔离。
第二十五条 涉密计算机信息系统应采取有效的防病毒、防黑客措施。外来文件在执行或打开前,应先进行病毒和黑客程序的检测和清除。
第二十六条 涉密计算机信息系统中涉及国家秘密信息的各种程序,应当在建库、检索、修改、打印 等环节设置保密措施,其保密措施应按处理秘密信息的最高密级进行管理。
第二十七条 涉密网络内部,应当采取身份认证、数字签名、访问控制、监控管理、信息加密、数据 保护、审计跟踪等措施。
(一)涉密网络的访问应按权限控制,不得越权操作。访问、处理秘密级、机密级信息,应按用户类别控制;
(二)涉密计算机网络系统的通信应采用完整性校验技术,以确保信息的完整性;
(三)涉密计算机网络应当采取身份认证技术,防止冒充和非法访问;
(四)涉密计算机网络应采用加密措施,保证信息在处理、存储、传输过程中的安全性。
第二十八条 涉密计算机网络系统应当符合《涉及国家秘密的计算机信息系统保密技术要求》所规定的其他安全保密措施。第二十九条 涉密计算机在进行维护检修时,对涉密信息应采取安全保密措施(将涉密信息转储后彻 底删除)。无法采取上述措施时,安全保密人员和业务人员必须在维修现场,对维修人员、维修对象、维 修内容进行监督并详细记录。
第六章 考评及奖惩
第三十条 村镇银行要定期对涉密计算机信息系统的运行、维护、使用情况进行检查和综合考评,并对检查和综合考评结果予以通报;对在计算机信息系统保密工作中做出显著成绩的单位、部门和个人,应给 予表彰。
第三十一条 违反本规定的使用单位、部门和个人,由村镇银行保密部门责令其停止使用,限期整改。对拒不执行整改,又不停止使用,而造成泄密的,应根据《村镇银行违规违纪行为处分管理办法》,给予有关责任人相应处罚。对违反本规定泄露国家秘密的,依据国家有关规定和法律,追究有关领导和直接责任人的责任,造成重大损失的,要从严处罚,直至追究刑事责任。
第七章 附 则
第三十二条 各支行可依据本办法,结合实际情况,制定具体实施细则。第三十三条 本办法由村镇银行负责制定、解释和修订。
村镇银行利率风险分析 篇6
村镇银行作为农村地区增量金融机构的代表,从2006年政策出台,2007第一家机构设立,数量上蓬勃发展,截至2016年2月,全国已批准设立1329家。众多村镇银行的存在对于改善农村地区金融供给、增强竞争,起到了一定的“鲶鱼效应”。但为数众多的村镇银行在持续经营中逐渐出现分化,有自己特色、能准确定位的,财务指标表现良好,不断开设分支机构,增强了对当地的覆盖与服务;而大多数仍在不短探索与创新,寻求适合自己的商业性与支农兼顾的可持续发展之路。
这种尝试与探索,随着央行在2015年10月23日宣布放开存款利率上限,必将进入一个新的阶段。根据国际经验,存款利率全面放开初期,中小银行为提升竞争力,一般会主动收窄利差、提高存款利率以争夺客户。这对于成立时间不长,规模更小,饱受“吸储难”困扰的村镇银行而言,似乎更是当然选择。而这种选择导致的利差收窄,会严峻考验村镇银行等中小银行的利率风险管理能力,以及由此衍生出的其他风险的管控能力。如果在此背景下,村镇银行不能对自身面临的利率风险有充分、全面的认识,更为关注自身的利率定价能力与利率风险防范水平建设,就难以利用利率市场化全面实现所带来的机遇,反而容易陷入高风险境地,甚至陷入经营困难、难以为继的局面。
考虑到村镇银行为主的小型银行在利率市场化过程中受到的影响可能更大;考虑到山西地区作为我国第一个资源型经济综改试验区正在力推金融振兴,明确提出要加快设立新型金融机构;在此背景下,度量风险,有效防范风险,进而促进村镇银行等新型金融机构为当地经济转型升级助力,具有现实意义。故本文选择山西地区15家村镇银行为研究对象,考察其利率定价能力,定量分析其利率敏感性缺口,并进行压力测试,以期找出存在问题,有效提升村镇银行应对利率常态波动能力。
利率定价能力
整体情况
山西村镇银行实践起步于2008年,截至2016年2月末,共计开业50家,另有13家处于筹建过程中。就63家村镇银行的主发起行来看,绝大部分为城市商业银行和农村商业银行(仅有1家由全国性股份制商业银行设立),且省内城商行和农商行占比高达90%;就设立地域来看,全面覆盖了省内11个地级市,且在晋北、晋中、晋南地区分布较为均匀;就经营情况来看,山西村镇银行的资产总额为195.08亿元,负债总额为186亿元,实现税后利润5.16亿元,平均资产利润率为1.13%。
利率实施特点
存款利率历来是村镇银行的揽储利器,在存款利率上浮上限没有放开前,通常的做法是“一浮到顶”。2015年10月24日存款利率完全放开后,村镇银行的存款利率报价并没有太大波动,以一年期存款利率为例,大部分机构报价在1.95%,上浮比例仅为30%,但在实际执行中,各家都有赠送、返现等其他形式的利率上浮,最终实际折算的上浮比例大都能达到50%到80%之间,各家银行略有不同,且会根据客户存款额度波动。
贷款利率管制放开较早,经过两年多的运作,村镇银行已逐渐摸索出一套做法,目前来看,主要是以上浮利率贷款为主,而且上浮比例偏高。据调查,截至2015年9月末,山西村镇银行的加权平均利率为14.66%,其中6个月以内、6个月到1年、1到3年、3到5年的加权平均利率分别为14.99%、14.82%、12.44%、6.54%。
利率定价能力
村镇银行组织机构相对简单,基本都没有设立单独的利率定价部门,仅有个别机构设专人管理利率。利率定价方法也较为粗放,未能建立电子化定价系统作为技术支撑。存款利率定价多是观察同区域类似机构,在此基础上采取灵活方式以稳定存款,进而抢占市场份额,没有基于科学计算,随意性成分多。贷款利率定价大都根据主发起行模式,采用基准利率加点定价法,也有个别机构采用成本加成定价法,但核算方法较为简单,仅是根据往年经营成本及各项费用支出,再考虑一些因素后的粗略预测。
利率敏感性缺口分析
利率敏感性缺口模型
对商业银行的利率风险进行定量分析的方法有多种,鉴于村镇银行的实际情况及数据的可获得性,本文选择利率敏感性缺口模型,这也是我国商业银行进行利率风险分析的主要模型。
利率敏感性缺口(RSG)模型是利用商业银行利率敏感性资产(RSA)与利率敏感性负债(RSL)之差来分析其利率风险的,利率敏感性资产与负债指的是商业银行一定期限内到期或即将重新定价的资产与负债。如果该差额大于零,即存在正缺口,小于零,即存在负缺口。缺口的存在,会在市场利率变动时,影响商业银行的净利息收入,所以商业银行会根据对市场利率的预测情况,主动调整利率敏感性缺口,以规避风险直至获取利润。对村镇银行的利率敏感性缺口进行考察,可以了解其现阶段的利率风险水平。
利率敏感性缺口是一个绝对值,可从其引申出利率敏感性比率、利率敏感性比率偏离度、缺口率等指标。其中的利率敏感性偏离度是利率敏感性资产与利率敏感性负债之比与1的差值,该指标绝对值越小,说明商业银行的利率风险越小。
山西村镇银行利率敏感性缺口分析
本文选择山西15家村镇银行对其利率敏感性缺口及偏离度进行调研。这15家村镇银行具有以下特点:一是覆盖了全省11个地级市;二是开业时间均在一年以上;三是其主发起行具有多样性,即根据全省村镇银行主发起行性质的不同及其构成比例,选择了6家省内城商行、6家省内农商行、2家省外城商行、1家全国性股份制商业银行主发起设立的村镇银行为调查对象,这样可以保证调查结果对山西地区的代表性。
根据实际情况,利率敏感性资产主要测算村镇银行发放贷款及垫款、存放中央银行款项、存放同业款项;利率敏感性负债主要测算村镇银行吸收存款、同业及其他金融机构存放款项、向中央银行借款;时间节点为2015年末;期限划分为3个月以内、3个月至1年、1年至5年、5年以上四档。调查结果显示,15家村镇银行均没有发放5年以上期限的贷款,所以图表中没有显示该期限。经过测算,15家村镇银行的利率敏感性缺口、利率敏感性比率偏离度数据见表
1、表2。
观察15家村镇银行的利率敏感性缺口发现,从总量上看,只有一家保持了负缺口,其他14家都是正缺口,考虑到现阶段利率处在一个下行通道,从利率敏感性缺口角度来说,商业银行应保持负缺口,这样才能在利率进一步下调时,降低净利息收入变动所受到的负面冲击甚至获利,而大部分村镇银行的资产负债结构显然不符合要求。再看保持正缺口的14家村镇银行利率敏感性偏离度,只有2家超过1,其他的偏离度均低于1,且大部分低于0.3,说明其虽然缺口性质不符,但偏离度不大,整体利率风险较小,在遭受利率下降风险时损失不致太大。
就3个月内的利率敏感性缺口而言,15家调查对象中有4家银行保持了负缺口,其中3家为省外城市商业银行和全国性股份制商业银行主发起设立的,说明其在超短期内能够有效防范利率下降带来的风险,但是有4家省内机构(2家城市商业银行、2家农村商业银行)主发起设立的村镇银行不仅为正缺口,而且利率敏感性偏离度超过了1,甚至有1家达到了7以上,这说明短期内如遇利率下降,这些银行将遭受巨大损失。再看3个月至1年期的利率敏感性缺口,省内机构主发起设立的3家村镇银行满足负缺口,其他9家虽为正缺口,但偏离度均在1以内,问题不大,省外一家城商行和全国性股份制银行发起的村镇银行有2家正缺口且偏离度大于1。就中长期而言,由于调查对象均没有超过5年的利率敏感性资产负债,故本文就其1到5年期的资产负债来讨论,15家村镇银行中有13家保持负缺口,保持正缺口的2家,偏离度也相当低,说明村镇银行的中长期利率风险管理能力较强。
利率敏感性压力测试
压力测试是在假定商业银行受到小概率事件冲击时,通过测度其盈利能力等方面受到的影响,来判定其脆弱性,辨析其抗风险能力,并进而提出一些改进措施的,分为敏感性测试和情景测试。本文在利率敏感性缺口分析基础上,对以上15家村镇银行由于持有1年内将到期或重新定价的利率敏感性资产与负债,在遭遇利率调整时,净利息收入所受到的冲击进行测试。其中3个月
表3 压力测试结果 单位:万元以内、3个月到1年的利率敏感性资产负债分别假定其在该时间段的中点重新定价。
鉴于我国自2012年以来一直处于降息通道上,所以本文假定存贷款基准利率仍会进一步下调,再考虑到存款利率完全放开后,以村镇银行为代表的中小银行有调高存款利率的倾向,所以压力情景设定为存贷款利率的不对称下降。
15家村镇银行净利息收入都会受到负向冲击,并且伴随利率下调幅度、基差的进一步扩大,村镇银行净利息收入受到的不利影响逐步增大,详见表3。
结论与建议
对15家基层金融机构――村镇银行的调查和实证分析结果表明:第一,村镇银行并没有充分意识到利率市场化基本完成给自身带来的巨大机遇与挑战,没能对其可能带来的风险引起足够重视,缺乏主动管理意愿和积极的应对措施。第二,村镇银行的利率定价能力较弱,存贷款利率确定均缺乏科学计算与相关技术手段支撑。第三,大部分村镇银行的利率敏感性缺口为正,且利率敏感性偏离度较低,说明其现阶段利率风险较小、可控。第四,压力测试表明,在利率下降通道,村镇银行采取的抬高存款利率以“争存揽储”的生存及竞争手段,对其净利息收入的负向冲击很大,如不能对其合理评估、适当运用及管控,将给村镇银行的生存带来危机。
针对以上问题,建议村镇银行从以下几方面加强应对:一是充分重视利率市场化带来的挑战与机遇,把利率风险管控提升到有关自身生死存亡高度来认识。二是加强专业人才引进与培养,重视数据收集与技术支撑系统建设,切实提升自身利率定价能力。三是积极推行利率敏感性缺口分析,由于该方法容易掌握且数据收集不存在难题,非常适合村镇银行推广。当然前提是加强自身对利率走势的研判,在此基础上确定缺口方向与额度,并据以调整资产负债结构与期限。四是实行差异化经营策略,找准自身定位,通过为目标客户提供全方位服务,增加客户黏性,形成自身核心竞争力,逐步减少单纯依靠上调存款利率吸储情况的发生。
(本文得到山西省科技厅软科学项目:山西新型农村金融机构发展研究[2013041065-05]支持)
村镇银行信息科技风险管理办法 篇7
村镇银行作为新型农村银行机构之一, 近年来得到了迅速发展。以安徽省灵璧县为例, 2012-2013年, 县城里相继成立了2家村镇银行, 并陆续在乡镇开设了营业网点, 中国人民银行灵璧县支行对其机房建设、网络信息科技支持等方面进行了现场核验, 并对其接入安徽金融城域网的申请进行了审核、上报以及协调配合接入, 为村镇银行的顺利开业提供了有力的支持。从对2家村镇银行的现场核验以及开业以来业务系统运行情况来看, 作为支持各项金融业务开展的信息科技工作存在一定的薄弱环节及安全风险, 应当引起县级人民银行的重点关注。
一、村镇银行信息系统建设现状
各村镇银行均建立了支持银行业务开展的基本信息系统, 有独立的中心机房。由于核心网络设备较少, 新成立的机构受可用面积限制, 中心机房面积往往不足10㎡;核心业务系统全面依托发起行, 业务系统数据库存储在发起行的服务器中, 数据备份、系统维护也由发起行全面负责;公民身份信息核查系统、人民币银行结算账户管理系统、人行对账系统、征信系统等通过发起行或其他银行机构间接接入人民银行金融城域网, 技术维护由自身负责;初步制定了信息安全管理办法和系统故障应急处理预案;银行卡产品仅有从发起行领取的单一品种个人储蓄借记卡。
二、村镇银行信息安全工作存在的问题
(一) 缺少专职、稳定的信息安全管理和技术人才
由于村镇银行机构规模小、开业时间短, 地理位置环境、生活条件待遇相对较差, 难以招到专业、稳定的信息科技人才, 而发起行由于距离较远, 难以提供现场技术支持, 不能有效保证业务系统的连续安全运行。例如一村镇银行开业2年, 负责信息安全的人员已更换3个, 且没有及时报告人民银行, 以至于人民银行无法与相关信息安全人员保持联系, 甚至还出现与人行金融城域网连接中断的事件:由于原信息科技人员离职而找不到相关技术资料, 故障不能及时排除, 导致征信等系统连续几天无法正常运行, 影响了相关业务的开展。另一家村镇银行报送信息安全相关资料时由村镇银行的行长本人办理, 也是因为人员短缺的缘故。
(二) 信息安全制度难以落实
任何制度都是靠人员来落实执行的。由于专业人员缺失或不足, 这造成村镇银行的信息安全管理制度流于形式。例如某村镇银行信息安全管理制度中要求信息安全岗配有A, B角, 实际上仅有一名信息科技人员, 而且还是兼职。有些制度中的条款则是直接将其发起行的制度移植过来, 与村镇银行自身情况不符。有的村镇银行科技人员离职时没有按照制度交接, 手续不完备, 接手的人员对信息系统架构等技术细节不能完全掌握, 影响系统的正常维护。
(三) 硬件设施投入不足, 存在业务连续性风险
村镇银行没有自身的核心数据服务器, 核心数据的存储和备份完全依托发起行负责管理。一家村镇银行在报送人民银行的网络设备拓扑图中标明是路由器双机备份, 但在实际现场核验中发现只有一台核心路由器。一旦出现故障, 业务系统则无法连续运行。
(四) 信息化建设及安全管理意识淡薄
村镇银行管理层关注的重点在于存贷款等涉及经济效益指标方面的各项业务, 对信息化建设的风险隐患、效益潜能等重视不足, 缺乏科学、规范、前瞻性的信息化建设规划, 随着后续业务的发展, 信息化建设及安全管理方面存在的问题将逐步显露。
三、加大对村镇银行信息安全的关注力度
村镇银行同所有的企业一样, 不仅要维持当前业务的安全平稳运行, 还要考虑到后续业务的发展壮大, 而这一切离不开信息系统的支持。因此, 如何做好信息系统的技术支持、系统升级与安全保障至关重要。2010年, 人民银行分支机构逐步开展了“两管理、两综合”工作, 即以重大事项报告为核心的营业管理工作, 以及对金融机构的综合评价和综合执法检查工作, 全面、系统地加强对金融机构的管理与服务。作为直接与村镇银行接触的县级人民银行, 从维护县域金融稳定、提高金融服务水平、推动区域经济发展的角度, 应该加大对村镇银行信息科技安全工作的关注力度。
(一) 加强村镇银行开业时的信息安全建设方面的核验
“开业管理”是人民银行“两管理”工作之一。村镇银行开业之初, 人民银行就应该对其信息科技方面的各项工作予以严格审验, 一是审验其信息安全组织是否按规定建立, 信息安全责任是否能够落实到位;二是审验其信息安全制度是否科学严格、切合实际、切实可行;三是审验其机房建设、硬件架构是否安全可靠, 核心设备是否有足够的冗余备份;四是审验其科技支持人员是否到位, 是否具有相应的专业资格, 能否有效支持信息系统安全运行;五是审验其是否建立了完善的信息安全应急处置机制, 能否在最短的时间内处理各种网络设备通信故障。
(二) 加强村镇银行营业期间信息安全重大事项的日常管理
“营业管理”是“两管理”工作之二。县级人民银行要以重大事项报告制度为依托, 及时掌握村镇银行信息安全工作的重大事项, 规定村镇银行及时报告各项安全事项, 如信息安全组织机构变动、信息安全相关制度变动、信息科技人员变动、网络架构变动等, 认真进行审查分析, 及时发现问题, 有效防范和化解信息安全风险。
(三) 加强对村镇银行的信息安全综合检查与综合评价
人民银行对银行机构的“综合执法检查”和“综合评价”往往偏重于结算账户、反洗钱、反假币、征信等业务, 而对其信息安全方面容易忽视。对村镇银行这样的小微银行机构, 县级人民银行应该在综合执法检查中加强信息安全方面的检查, 督促村镇银行提升信息安全意识, 控制信息系统风险, 提高科技人员的技术支持水平, 加大信息安全建设投入, 定期进行信息系统故障处理应急预案演练。
(四) 及时对村镇银行科技业务进行协助
人民银行应该从管理和服务的角度, 发挥自身在信息科技工作方面的经验与优势, 对村镇银行的科技工作及时进行协助, 为村镇银行信息科技重大事项和决策提供建议, 协助村镇银行开展信息科技建设及风险管理, 及时解决接入人行金融城域网的通信问题等。
村镇银行信息科技风险管理办法 篇8
摘要:根据黑龙江省10个村镇银行的实际情况,确定其流动性风险的外部影响因素,运用SPSS因子分析法对其进行实证分析,概括出影响黑龙江省村镇银行流动性风险的外部因素,主要包括地域经济环境因素、农村居民生活水平因素和农业生产风险因素,并据此提出对策建议。
关键词:流动性风险 村镇银行 因子分析
一、村镇银行流动性风险
通常来说,村镇银行的流动性风险分为狭义的和广义的。狭义流动性风险指村镇银行不能为客户存款的提取提供足够的现金,从而产生的支付风险;广义流动性风险包含狭义的概念,还包括村镇银行不能为满足客户合理的信贷需求或其他现金需求而及时提供充足资金,从而引发的风险,本文内容主要是指广义的流动性风险。
二、黑龙江省村镇银行流动性风险外部影响因素实证分析
(一)外部影响因子选取
本文利用因子分析法对黑龙江省村镇银行流动性风险外部影响因素进行实证分析。采用调查法获取相关农户信息。选取黑龙江省10个村镇银行设立地区的农户随机进行调查,其中包括牡丹江的东宁县、大庆的杜尔伯特县、哈尔滨周边的巴彦县、双城市、五常市,黑河的五大连池市、齐齐哈尔的克山县、依安县,双鸭山的集贤县,绥化的兰溪县,共发放问卷400份,回收374份,有效问卷374份,有效度为93.5%。因子选取如下:
X1代表农户受灾面积、X2代表当地农业生产总值(亿元)、X3代表农户中长期贷款占当地村镇银行总贷款的比值、X4代表农户耕地面积、X5代表村镇银行农户参与率、X6代表农户不动产数额(万元)、X7代表农村居民纯收入(元)、X8代表初中专以上学历的农村劳动力占当地农户的比值、X9代表当地注册企业数量、X10代表当地金融机构数量。数据来源于《黑龙江省村镇银行流动性风险调查问卷》、各地市级统计年报公布的数据。
(二)分析过程
降维是因子分析的主要统计方法,就是将一些复杂的、高度相关的变量转变为少数几个综合因子。最终筛选的因子都能够完整的反映原始变量所需信息,并高度有效的对原变量进行解释,本文因子分析运用SPSS17.0软件,分析步骤如下:
1、显著性检验
根据SPSS17.0软件进行计算,巴特利球度检验统计量为87.830,相应的p值为0.000,认为相关系数矩阵与单位矩阵有显著差异。同时KMO值比较高,可做因子分析。见表1。
2、特征根与方差贡献表
表2中,第一列是因子编号,以后3列为一组,每组中数据项的含义依次是特征根值、方差贡献率和累积方差贡献率。由表2可知第一因子的方差占所有因子方差的40.453%左右,前3个因子的累计方差贡献率达到了90.74%,高载荷的指标对各主因子的名称影响较大,主因子就按照实际经济意义来定义。第一个因子在X7、X3、X6、X8上有较大载荷,可称为农村居民生活状况因子F1;第二个因子在 X2、X9、X10、X5上有较大载荷,可称为经济发育程度因子 F2;第三个因子在 X1、X4上有较大载荷,可称为农业生产风险因子。
3、因子得分综合排序
在统计软件SPSS的运行结果中,根据表中的每个公共因子的原始指标变量和得分系数的标准化数值,计算黑龙江省10家村镇银行综合因子得分,见表3。
三、结果分析
影响黑龙江省村镇银行流动性风险的外部因素可分为三类,从排名情况来看:
(一)F1概括为农村居民生活状况因子
F1主要包括农户整体素质以及偿还贷款能力。根据表3可以看出,各地区村镇银行收回贷款能力主要受农户不动产数额、农村居民家庭纯收入多少的直接影响,而这又决定了村镇银行流动性资产的收益状况。由于个别农户还款意识较差,致使不良贷款增加,影响村镇银行流动性资金的收回。而农户参与率影响村镇银行流动性资金来源,导致流动性风险发生。而农户中长期贷款占总贷款的比例则影响村镇银行资产流动性,中长期贷款数额越多,越影响村镇银行资金流动性。排名前几位地区是经济发展速度快、教育事业发达的地区,农村居民生活水平较高,因此东宁、五常、双城的村镇银行流动性风险受信贷资产、不良贷款以及居民道德影响较小。相反,兰西、巴彦、依安的村镇银行流动性风险则受以上因素影响较大。
(二)F2概括为经济发育程度因子
公因子F2对当地金融机构数量占全省金融机构比例、当地注册企业数量、农业生产总值的解释度都很高,影响村镇银行流动性资金的来源,反映了当地政府扶持程度和农村经济发育的状况,因此五常、双城、东宁等地的金融经济环境发展较好,企业数量较多,经济环境相比其他地域好,政府对农业的扶持力度也较大。如果村镇银行的流动性资金来源不固定,而中长期资产的规模被盲目扩大,则流动性危机会被引发。因此,排名前几位的村镇银行流动性风险受政府政策因素和金融市场发育程度影响较小。相反,依安、五大连池、兰西地区的村镇银行则受以上因素影响较大。
(三)F3概括为农业生产风险因子
F3反映该地区的农业生产水平,由农户耕地面积和农户受灾面积组成。农业生产的收益具有不确定性,而黑龙江省村镇银行主要服务以农业生产为主要收入来源的农村农户,村镇银行的经营效益与自然灾害损失产生直接相关,增大了黑龙江省村镇银行流动性风险发生的可能。因此五常、克山的村镇银行发展会受农业生产风险影响较大,村镇银行里的流动性风险与农业的依赖性比较高。相反,依安以及兰西的村镇银行受其影响较小。
四、结论与建议
(一)提高农户信贷资产质量水平,营造流动性风险管理的外部环境
从对F1的分析得知,居民道德水平和受客户信用水平影响黑龙江省村镇银行的流动性风险,因此要逐步建设良好的农村信用体系。村镇银行应建立农户信用档案,大力推广信用户、信用村的概念;根据不同地区农村的特点建立征信系统;增强客户的信用意识。
(二)政府给与支农政策支持,制定流动性风险政策
在 F2的分析得出,村镇银行流动性风险受当地经济发育程度以及政府政策制约。政府应根据各农村地区的差异,实行税收政策差别化;再给村镇银行关于涉农贷款以一定的财政补贴、一定的政策,支持支农再贷款。制定并完善相关的配套政策,从而让村镇银行对流动性风险进行更有利的防范。
(三)推进农业现代化建设,完善农业风险补偿机制
根据F3的结论,农村农户和企业面临着自然风险的不确定性。一方面应建立防范流动性风险的农业保险与补偿机制,建立有关于企业、个人的农业风险基金,为农业提供风险保障。另一方面使农业创新科研能力提高,农业科技投入力量加大。
参考文献:
[1]高辰. 农村金融流动性风险分析与预防[J]. 商业经济,2012(12)
[2]杜夏. 我国农村金融流动性风险问题研究[J]. 金融财会,2013(10)
[3]江新奎,赵玉荣. 村镇银行流动性风险管理分析[J]. 经济师,2010(10)
[4]王吉恒,李晓辰,李旭.中国村镇银行发展的外部影响因素分析[J].中国经贸导刊,2012(5)
〔本文系黑龙江省哲学社会科学研究规划项目“现阶段影响我国农村居民消费率和储蓄率变化因素研究”(项目编号:11B075)阶段性成果〕
【村镇银行信息科技风险管理办法】推荐阅读:
村镇银行信息平台建设08-23
村镇银行财务管理制度08-27
村镇银行综合管理部半年工作总结05-14
村镇银行05-11
村镇银行发展05-23
村镇银行国内09-12
问诊村镇银行06-30
我国村镇银行发展07-04
村镇银行布局农村08-13
村镇银行竞聘稿07-07