银行业信息科技风险监管中的核心,是如何最大限度的减少信息科技在技术和管理中的缺陷,在实践中,我们认为应注重“四动”:
一、注重适时报备促动。为做到心中有数,更加清晰地了解到辖内银行业金融机构的信息科技重大事项、重要银行机具运行的状况、科技人员配备情况等信息,应在辖内建立并实施信息科技事项适时报备制度,“逼”被监管机构在执行报备制度中主动加强管理。一是信息科技重大事项报备。要求辖内银行业机构建立重大信息科技事件档案,建立重要系统升级、变更和终止档案,并及时向监管当局报备。二是重要银行机具网点分布报备。建立辖内银行业机构的ATM机、存款机、POS机、点钞机等银行机具分布及运行状况档案,要求各机构通过《银行业金融机构重要银行机具网点分布统计表》报监管当局。三是现有科技人员情况报备。建立辖内银行业机构科技人员基本情况和联系方式档案,要求各机构及时向监管当局报备。
二、注重定期检查推动。根据报备制度和日常掌握的情况,确定应检查的辖内银行业金融机构,督促其贯彻落实信息科技风险的防范措施,整改存在隐患和问题,从而做到有的放矢。重点检查以下内容:一是组织架构建设。是否按要求建立了信息科技领导组织、应急团队、执行小组、保障小组等,确认职责是否明确、责任是否的到岗到人、小组之间是否协调有力。二是制度措施落实。是否贯彻落实《银行业金融机构信息系统风险管理指引》和其它信息科技监管要求,是否建立了相应的细化措施和办法,包括报备制度、痕迹管理等方面的执行情况。三是银行机具管理。重点是ATM机、POS机和点钞机的管理情况,这些关键设备的运行、维护和保管,是否按“谁主管谁负责、谁运行谁负责”的原则落实到人,定期检查、维护,确保运行性能良好。四是应急演练情况。中心机房的核心设备是否有冗余备份,主要业务系统是否有灾难应急备份/恢复方案,这些方案是否进行过应急演练验证。五是重大事项处置情况。是否对机构内信息科技重大事项建立了详细的档案,是否及时向主管部门和监管部门报备。
三、注重信息通报互动。通过《保山银行业快讯》、《保山监管统计》、监管通报会、发送电子邮件等形式,实现信息科技信息共享,从而做到未病先治,强化预防。重点共享以下资源:一是银行业金融机构信息系统风险管理的相关法律、法规和政策;二是国内外银行业信息科技风险管理经验,诸如风险识别、计量、评价、预警和控制等先进方法;三是通报国内外银行业信息科技风险案例,把握银行业信息系统风险防范的重点;四是交流分析本地区信息科技风险形势,探讨防范对策。
四、注重落实问责震动。一方面,当局在明确信息科技风险监管部门职责的前提下,纳入“问责”范围,追究失职、渎职和不认真履职的监管人员的责任;另一方面,要求被监管机构建立相应的责任追究制度,严格执行“上追两级”、“双线问责”规定,从而实现操作管理人员、主管部门负责人、机构领导等各司其职、各负其责、协作尽力的信息科技风险管理格局。
二八〇八年六月四日星期三