根据《银行业金融机构全面风险管理指引》、《商业银行内部控制指引》、《……中小金融机构风险管理机制建设指引》及《……商业银行系统全面风险管理指引》、《银行信息科技风险管理办法》等文件要求,结合“内控合规管理建设年”“强基固本正风肃纪年”活动,确保系统安全运行和业务健康发展,提升我行信息科技风险管理水平,现将2021年第3季度信息科技风险管理情况汇报如下:
一、信息科技总体情况
(一)岗位和人员配置情况
信息科技部设置总经理岗、副经理岗、风险管理岗、业务支撑岗、综合管理岗、应用运维岗、基础平台运维岗、运行支持岗、软件研发岗、需求管理岗、测试管理岗、质量管理岗、网络管理岗、资源保障岗、信息安全岗等15个岗位,岗位设备满足《商业银行信息科技风险管理指引》关于内部的岗位制约的相关规定。全行正式在岗员工465人,信息科技人员12人。
(二)信息科技风险管理情况
合规与风险管理部门是信息科技风险管理的第二道防线,定期向高级管理层或风险管理委员会报告信息科技风险管理情况,设立信息科技风险管理岗。该部门同时为信息科技突发事件应急响应小组的成员之一,负责协调制定有关信息科技风险管理策略,尤其是在涉及信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续信息科技风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。按《商业银行信息科技风险管理指引》设立首席信息官,向行长汇报工作,并参与决策。制定的《银行信息科技风险管理办法》中明确法定代表人为本行信息科技风险管理的第一责任人。
(三)信息科技风险审计情况
内部审计部是信息科技风险管理的第三道防线,设立信息科技风险审计岗,承担信息科技部门和风险管理部门履职情况的审计责任。内部审计计划包含信息科技风险审计内容。每年开展一次全面信息科技风险审计,并出具审计报告。按照审计计划要求如期开展信息科技风险审计活动,按照规定程序及时上报报告。对信息科技重大风险事项向经营层、审计委员会等规定路径进行报告。
二、风险管理的问题和风险点
主要存在系统用户管理不规范、相关制度更新不及时、第二道防线履职不全面等问题。
(一)员工岗位账号用户排查工作不细致。
信息技术部门组织牵头排查的“信息系统账户和权限风险排查表”,对其各部门所使用的系统角色进行了梳理统计,并让对应负责人签字。但其中智能信用卡管理平台在其排查表中显示业务发起权限在支行,审核权限在电子银行部;实际业务中操作员是,审核员是。
(二)信息系统日志保管不齐全。
信用卡发卡系统、信用卡多渠道信审平台、云缴费平台、社区e银行管理平台、统一收单平台、银行卡系统、手机银行系统、网银系统、客户关系管理系统、金农信e贷系统、信贷管理系统、票据系统、财务管理系统、资金业务系统、核心业务系统等15个应用系统,除网银系统留存有数据日志信息以外,其他系统均无日志信息。
(三)系统用户管理不规范。
查询信用卡多渠道信审平台,用户张楠、李洋、罗时利系统录入员角色在营业部,实际分别在小微金融部、公司业务部、小微金融部工作。
(四)部分制度修订不及时。
信息科技相关制度,较多内容集中在2017年(《行信息科技管理基本制度》(……银发〔2017〕467号)等18项制度),存在部分制度修订不及时情况。虽已按往期检查问题发现开展整改,但进度缓慢。
三、下一步工作计划
(一)开展制度流程梳理,持续推进制度流程化。
以“内控合规管理建设年”为契机,以促进合规建设为着力点,通过增强内部控制的充分性和有效性,提升内控合规水平,进一步优化内部控制架构建设和制度流程建设,促进形成内部控制的动态完善机制和良好的合规文化氛围;持续推进内控管理制度化、制度流程化、流程信息化工作。
(二)进一步压实部门责任,强化履职。
从业务信息系统存在问题,具体表现在系统管理不规范、账号状态未及时调整等诸多环节上,执行监督不到位,因此建议银行进一步压实部门职责,强化岗位履职,针对薄弱环节责任到人,培训辅导到位,监督检查到位,整改落实到位。
(三)建立问题台账,加大问题整改力度。
发现的问题和风险点,信息技术部将建立问题台账,举一反三,及时开展自查自纠,对类似问题,排查整改到位,并在以后的工作中坚决杜绝类似问题的发生,条线部门要带头积极整改并指导监督支行整改落实,深入分析问题根源,力争从制度源头防范风险。
银行信息技术部
2021年9月30日
《商银行信息科技风险管理报告2021Q3》相关文档:
采购合同风险管理10-26
EPC总承包合同计价模式及风险管理研究04-12
金融行业劳动合同风险管理04-21
银行风险管理部副经理竞聘演讲稿05-04
EPC总承包合同计价模式及风险管理研究05-07
EPC项目风险管理与探讨05-07
EPC工程总承包项目的风险因素与风险管理05-07
风险管理练习题(第6-10章 )05-17
商业银行信息科技风险管理指引07-02
信息科技风险管理.doc07-02
