中小金融机构信息化建设策略范文

一、风险与存在问题

（一）信息科技支撑不足，信息化战略风险凸显目前村镇银行支撑业务运转的信息科技建设与传统银行相比严重落后，难以保证其健康运行和快速发展，形成了村镇银行发展的战略风险。一是系统支撑能力不足。如漳平民泰村镇银行未加入当地人民银行大小额支付系统和财税库行横向联网系统，大量小微企业因无法进行开户代扣税等原因只能对其“望而却步”，目前该行某些业务须借助当地兴业银行的平台。二是漳平民泰村镇银行无法并入银联银行卡网络，无法提供网上银行服务等电子化服务渠道，因此直接“屏蔽”了许多客户的需求，难以适应农村信息化建设，满足深入推进和满足农民日益迫切的新兴电子化金融服务和产品的强烈需求。三是信息科技投入不足，一方面部分设备老化、性能较差，未达到重要设备及系统的双机备份要求；另一面专业科技人才稀缺，且技术水平和实践经验相对不足，难以胜任地方特色中间业务的开发运维任务。

（二）信息科技发展意识淡薄，治理架构不到位一是中小金融机构管理层目前关注点仍立足利润、收息、不良贷款等传统经济效益指标，对信息化建设的潜在效益重视不足，未形成有效的信息科技治理架构，科学性、规范性决策欠缺。二是系统运行稳定性、安全性较差，部分核心系统刚开发投入使用不久，需要经常进行补丁更新和升级，核心数据安全无法保障。数据备份周期过长、备份方式落后，备份介质存放环境差且未进行异地存放，有些核心数据完全依托发起行备份管理，如个人和企业征信业务存在数据泄密隐患。三是业务连续性风险隐患大。中小金融机构未建立专业的机房，科技设备及系统运行整体环境较差，管理人员为单人，业务中断风险严重。

（三）信息科技对外依赖性强，外包风险突出中小金融机构由于自身科技力量不足，信息化建设严重依赖外部，从系统开发上线到运行管理维护等各个环节都依赖发起行或外包公司的支持。在未与发起行或外包公司签订明确的服务水平协议的情况下，普遍缺乏对发起行或外包公司科技管理维护人员的有效制约机制。外包公司倒闭、服务响应时间长等外包风险都对银行信息化建设发展提出挑战。

（四）约束机制不到位，存在操作风险及案件隐患中小金融机构整体科技人员不足，各类约束制约机制不到位，在信息安全方面普遍存在操作风险及案件隐患。在银行只有1名兼职科技人员的情况下，信息科技运行中存在单人操作现象；同时，科技人员权限过大，数据备份、系统管理、安全管理等职责集于一身。如漳平民泰村镇银行的保卫监控室与计算机房合为一体，这都为操作风险及案件发生创造了可能性。

（五）信息安全指导和监管明显滞后与中小金融机构信息化高速发展相比，中小金融机构的信息安全指导和监管工作还需要进一步加强。首先，人民银行对中小金融机构信息安全工作的指导和协调职责，与银监部门监督检查内容重叠且标准不一，极易造成多头管理且口径要求不统一的问题，导致监管部门之间分工不明确，在缺乏有效的沟通和协调下，易造成中小金融机构间的误解。其次，中小金融机构与人民银行之间在信息安全方面缺乏交流机制，人民银行对中小金融机构信息安全措施是否符合规范缺乏了解，对中小金融机构信息安全工作缺乏指导，造成人民银行与中小金融机构在信息安全保障方面安全标准不对称的局面。

二、政策建议

中小金融机构的设立和发展，是推进金融深化改革，完善金融组织体系的必由之路。在此过程中，能否处理好信息科技与业务发展的关系至关重要，对此我们提出以下建议。

（一）立足长远，以科技驱动业务发展并提升管理水平中小金融机构应立足长远，在发展中树立科技先行的理念，不仅将信息科技作为支撑，而且把它作为引领业务实现跨越式发展并最终走向成熟的引擎，切实以科技驱动业务发展并提升管理水平。一是高管层应提高对信息科技的认识，理顺信息科技与业务发展的关系。二是加大人财物投人，长远、科学合理规划信息科技发展。三是在信息科技方面建章立制，加强执行力建设，以规矩成方圆。

（二）完善中小金融机构信息安全管理机制中小金融机构应建立和完善信息安全管理的组织架构，明确部门和岗位职责，形成分工合理、职责明确、相互制衡的信息安全组织架构；应制订符合总体业务发展的信息安全运行规划，确保配置足够的人力、物力、财力，维持稳定、安全的信息安全环境；应制订全面的信息安全管理策略，包括信息分级与保护、运行和维护、访问控制、物理安全、人员安全以及外包管理机制等；应强化运维体系建设，完善运维管理流程，明确运维管理标准，并且针对目前中小金融机构信息系统的开发、建设和运维依靠外包服务的趋势，应建立健全科技外包管理制度，积极防范外包服务风险，规范服务商的服务标准和流程；应建立持证上岗制度，加强中小金融机构信息安全工作人员培训，在信息安全岗位设置上要满足信息安全工作的需要，信息安全工作人员应考取相关上岗资格证后方能上岗；应建立信息安全考核评价机制和奖惩制度，出台考核办法，并对信息安全工作进行评价，有效落实信息安全责任制和问责制。

（三）引导中小金融机构加强等级保护工作金融信息安全体系的构建必须建立在风险评估的基础上。信息安全等级保护能够有效提高信息以及金融信息安全体系建设的整体水平，为金融信息安全体系的构建提供系统性、针对性、可行性的指导和服务，有效控制信息安全建设成本，优化信息安全资源的配置。一是根据《信息安全等级保护管理办法》和《金融行业信息系统信息安全等级保护实施指引》，加大中小金融机构等级保护工作的开展力度，做好等级保护评估工作。二是当地人民银行应根据中小金融机构的特点，建立切实可行的中小金融机构信息安全等级保护标准和监管措施，对中小金融机构的系统风险和操作风险进行分类，对其信息系统安全定级过程与结果进行审核监督。三是人民银行应与公安部门、金融监管部门建立协调检查机制，适时组织对中小金融机构等级保护工作开展情况进行检查，加强信息安全等级保护制度在中小金融机构中的有效落实。

（四）加强对中小金融机构服务指导和行业监管人民银行应加强对中小金融机构的服务指导，尤其是在核心业务系统建设、灾难备份中心建设和信息安全方面给予具体指导，帮助中小金融机构借鉴成功经验，规避风险，实现跨越式发展。同时，人民银行应积极引导中小金融机构组织通信运营商、电力公司和维保公司，建立相应的应急保障机制和联系机制，增强中小金融机构抵御系统性、区域性的信息安全风险能力。成立金融业信息安全领导小组，建立和完善信息安全通报机制、报告制度和联席会议制度，建立健全一个运转灵活、反应灵敏的信息安全应急处理协调机制，随时处置和协调中小金融机构安全事件，以迅速应对突发事件的发生，降低或消除中小金融机构网络和信息系统因出现重大事件而造成的损失和社会影响。

作者：陈友根洪志斌单位：中国人民银行漳平市支行