第一篇：南京銀行信息科技風險管理政策

南京銀行股份有限公司信息科技風險管理政策

第一章 總則

第一條 為進一步完善南京銀行股份有限公司（以下簡稱“本行”）全面風險管

理體系，保證本行業務的可持續發展，依據中國銀行業監督管理委員會《商業銀行

信息科技風險管理指引》并結合本行實際，制定本政策。

第二條 本政策所稱信息科技風險是指本行在運用信息科技過程中，由于自然

因素、人為因素、技術漏洞和管理缺陷產生的操作、法律和聲譽等風險。

第三條 本行信息科技風險政策取向是：穩健。實行規避、預防、緩釋、抵補

等管理策略。

第四條 本行通過搭建科學的風險管理組織架構、劃分明確的風險管理職責、制定有效的風險管理制度和操作流程等措施，持續推動信息科技風險管理工作的開

展。

第五條 本行信息科技風險管理的管理原則是：全員參與、協調統一、預防為

主、動態管理。

第六條 本行信息科技風險的管理目標是通過建立完整、合理、有效的風險管

理機制，實現對信息科技風險的識別、評估、計量、監測和控制，促進本行安全、持續、穩健運行，推動業務創新，提高本行信息技術使用水平，增強核心競爭力和

可持續發展能力。

第二章 信息科技風險的組織架構和職責

第七條 本行建立與信息科技風險特點相適應的組織架構，包括董事會、董事會

風險管理委員會、高級管理層。

第八條 董事會承擔本行信息科技風險管理的最終職責。具體職責包括：

（一）建立并完善分工合理、職責明確、相互制衡、報告關系清晰的信息科技

治理組織結構；

（二）審查批準信息科技戰略，確保其與本行的總體業務戰略和重大策略相一

致；

（三）動態掌握信息科技風險政策和信息科技戰略規劃的執行情況、信息科技

預算和實際支出情況及信息科技的整體狀況；

（四）定期聽取專門委員會工作事項的執行情況。2 第九條 董事會授權風險管理委員會行使以下職責：

（一）依據本行信息科技戰略，制定信息科技風險管理政策；

（二）監督高級管理層制定具體有效的信息科技風險管理制度和操作流程；

（三）按年度聽取高級管理層的信息科技風險監測報告，評估信息科技風險管

理工作的總體效果和效率并提出完善的建議和意見；

（四）配合銀監會及其派出機構做好信息科技風險監督檢查工作，及時決策本

行發生的重大信息科技事故或突發事件，向銀監會及其派出機構報送信息科技風險

管理的年度報告；

（五）確保內外部審計部門獨立有效的進行信息科技風險審計，并確認審計報

告；

（六）履行董事會授權的其他信息科技風險管理職能。

第十條 高級管理層行使以下職責：

（一）負責執行本行信息科技風險政策和發展戰略；

（二）制定具體的信息科技風險管理制度及具體的操作流程，確定可接受的信

息科技風險級別，確保境內外信息科技風險能夠被識別、評估、計量、監測和控制，統一協調各經營部門有效開展信息科技風險管理工作；

（三）確保本行信息科技系統正常運行，有效防范跨境風險；

（四）規范職業道德行為和廉潔標準，增強內部企業文化建設，提高全體人員

對信息科技風險管理重要性的認識；

（五）組織專業培訓，加強信息科技專業隊伍的建設，建立人才激勵機制；

（六）對董事會風險管理委員會確認的信息科技風險內外部審計報告，落實具

體的整改措施；

（七）配合銀監會及其派出機構做好信息科技風險監督檢查工作，并落實整改

措施，及時向銀監會及其派出機構報告本行發生的重大信息科技事故或突發事件，并按相關預案快速響應；

（八）其他信息科技風險的管理職能。

第三章 信息科技風險管理的內容

第十一條 本行信息科技風險管理的內容包括但不限于：信息安全管理、信息系

統開發、測試和維護管理、信息科技運行管理、業務連續性管理和外包管理等方面。

第十二條 本行通過制定各類有效的信息科技管理制度，優化風險管理流程，提3 高制度約束的執行力水平，不斷完善信息安全管理機制，最終實現信息的持續安全

管理。

第十三條 本行在信息系統開發中，采取適當的系統開發方法，充分評估信息科

技項目風險，合理安排信息科技項目的排序、立項、審批和控制；在測試和維護中，強化數據的完整性、保密性和可用性，確保系統的可靠性、完整性和可維護性，合理控制信息系統的生命周期。

第十四條 本行在信息系統運行過程中，實施必要的隔離措施，建立應急的信息

系統運行事故管理機制。

第十五條 本行在業務連續性管理過程中，通過制定適當的業務連續性規劃，確

保信息系統在無法預見的中斷時能夠有效的運行。

第十六條 本行實施重要信息科技外包(如數據中心和信息科技基礎設施等)時，堅持謹慎原則，經必要的分析、論證和審查程序，不得將信息科技管理責任外包；

適時謹慎的履行監督外包職能；在外包管理過程中，確保本行的客戶資料等敏感信

息的安全。

第四章 信息科技風險管理的程序

第十七條 高級管理層按年度向董事會風險管理委員會出具本行信息科技風險

管理書面監測報告，詳細說明信息科技風險管理情況和下一步完善措施。

第十八條 對本行重大的信息科技風險事件，在第一時間向董事會風險管理委員

會和監管部門報告。

第十九條 對監管部門現場檢查和內外部審計機構審計中發現的問題，落實整改

措施并及時向董事會風險管理委員會報告。

第五章 考核與獎懲

第二十條 本行董事會將信息科技風險年度管理情況納入到對董事、高級管理層的年度履職考核中。

第二十一條 高級管理層通過建立科學的信息科技風險管理問責制度，將信息科

技風險管理的考核指標納入全面風險管理考核體系，以推動業務發展質量的全面提

升。

第六章 附則

第二十二條 本政策由南京銀行股份有限公司董事會風險管理委員會負責解釋。

第二十三條 本辦法自董事會批準之日起執行。

第二篇：南京銀行：流動性風險管理政策

南京銀行：流動性風險管理政策（修訂）

? ? ? 2009-12-19 來源：上海證券報 進入論壇

南京銀行股份有限公司流動性風險管理政策（修訂）第一章 總 則

第一條 為進一步健全南京銀行股份有限公司（以下簡稱“本行”）流動性風險管理體制和機制，完善全面風險管理體系，保證本行各項業務的可持續發展，依據中國銀行業監督管理委員會《商業銀行流動性風險管理指引》、《商業銀行風險監管核心指標（試行）》并結合本行實際，制定本政策。

第二條 本政策所指流動性風險是指商業銀行雖然有清償能力，但無法及時獲得充足資金或無法以合理成本及時獲得充足資金以應對資產增長或支付到期債務的風險。流動性風險可以分為融資流動性風險和市場流動性風險。

融資流動性風險是指商業銀行在不影響日常經營或財務狀況的情況下，無法及時有效滿足資金需求的風險。

市場流動性風險是指由于市場深度不足或市場動蕩，商業銀行無法以合理的市場價格出售資產以獲得資金的風險。

第三條 流動性風險管理是指識別、計量、監測和控制流動性風險的全過程。

第四條 流動性風險的管理原則是：全員參與、動態預防、科學量化、審慎管理，確保本行無論在正常經營環境中還是在壓力狀態下，都有充足的資金應對資產的增長和到期債務的支付。第五條 本行流動性風險管理政策的取向是：穩健。即在滿足監管要求的基礎上，適當平衡收益水平和流動性水平，保持適度流動性，將流動性風險控制在本行可以承受的合理范圍之內，確保本行的安全運營和良好的公眾形象。

第六條 本行流動性風險管理的目標是通過建立適時、合理、有效的流動性風險管理機制，實現對流動性風險的識別、計量、監測和控制，將流動性風險控制在本行可以承受的范圍之內，以推動本行的持續、健康運行。

第七條 本行通過建立科學的風險管理組織架構，劃分明確的風險管理職責、制定有效的風險管理策略、程序和制度，強化考核監督，持續推動流動性風險管2理工作的開展。第二章 流動性風險的組織架構和職責

第八條本行建立與流動性風險特點相適應的組織架構，包括董事會、董事 會風險管理委員會、高級管理層。

第九條董事會承擔流動性風險管理的最終職責。具體包括：

（一）審核批準本行的流動性風險管理體系和重要政策；

（二）監督高級管理層在風險管理體系內對流動性風險進行適當管理和控制；

（三）對本行流動性風險管理信息系統的完整性、準確性和有效性承擔最終責任；

（四）決定與流動性風險相關的信息披露內容；

（五）審核批準本行流動性風險承受能力、流動性風險管理策略與程序、流動性風險限額和流動性風險應急計劃，并根據風險管理需要及時對以上內容進行審議修訂，審議修訂工作至少每年一次；

（六）持續關注流動性風險狀況，定期獲得關于流動性風險水平和相關壓力測試的報告，及時了解流動性風險的重大變化和潛在轉變；

（七）根據內部審計的結果，督促高級管理層針對內部審計發現的問題采取及時有效的整改措施，并適時調整和完善有關流動性風險管理的策略和程序；

（八）授權并聽取董事會風險管理委員會開展流動性風險管理的相關工作；

（九）法律、法規規定的其他職責。

第十條 高級管理層負責流動性風險的具體管理工作，應履行以下職責：3

（一）根據本行的總體發展戰略測算流動性風險承受能力，并提請董事會風 險管理委員會審批；根據總體發展戰略及內外部經營環境的變化及時提出對流動 性風險承受能力修訂的建議，并提請董事會風險管理委員會審議；

（二）根據董事會風險管理委員會批準的流動性風險承受能力，制定流動性 風險管理策略、程序、限額，其中重要的策略、程序和限額需提請董事會風險管 理委員會審批后執行；

（三）根據董事會風險管理委員會批準的流動性風險管理策略、程序和限額，對流動性風險進行管理，制定并監督執行有關流動性風險管理的內部控制制度；

（四）充分了解并定期評估本行流動性風險水平及管理狀況，向董事會風險

管理委員會定期匯報本行流動性風險狀況，及時匯報流動性風險的重大變化或潛在轉變；

（五）建立完善的管理信息系統，以支持流動性風險的識別、計量、監測和控制工作；

（六）根據董事會和董事會風險管理委員會批準的相關政策、策略和程序，組織實施壓力測試和情景分析，并定期將測試結果向董事會風險管理委員會匯 報，推動壓力測試成果在戰略決策和風險管理中的應用；

（七）制定流動性風險應急計劃，并提請董事會風險管理委員會審批；

（八）識別并了解可能觸發應急計劃的事件，并建立適當機制對這些觸發事件進行監測；

（九）定期對流動性風險的管理進行內部審計，并對審計提出的整改措施實 施情況進行后續審計，并及時向董事會風險管理委員會提交審計報告；

（十）指定專門人員或部門負責流動性風險管理工作，負責流動性風險管理的部門應當職責明確，并建立完善的報告制度；流動性風險管理部門和人員應保持相對獨立性，特別是獨立于從事資金交易的部門；4

（十一）法律、法規規定的其他職責。

第三章 流動性風險管理的內容第十一條 本行在根據發展戰略、業務特點和風險偏好測定自身流動性風險承受能力的基礎上，確定流動性風險管理的策略與程序、模式、方法與技術、限額、監測頻度、內部控制、內部審計、信息系統、信息披露等風險管理內容。

第十二條 從持續、前瞻的角度制定書面的流動性風險管理策略和程序，并在綜合考慮業務發展、技術更新及市場變化等因素的基礎上及時對流動性風險管理策略和程序進行評估和修訂。評估和修訂工作最少每年進行一次。

流動性風險管理策略和程序應涵蓋本行的表內外各項業務，以及所有可能對流動性風險產生重大影響的業務部門、分支機構，并包括正常情況和壓力狀況下的流動性風險管理。第十三條 本行根據不同發展階段的業務規模和復雜程度選擇流動性風險管理模式，管理模式可以是集中、分散或二者相結合。無論采用何種管理模式，都應確保對總體流動性風險水平和各分支機構、各業務條線流動性水平進行有效識別、計量、監測和控制，并確保遵守各有關流動性風險監管要求。

第十四條 流動性風險管理的方法和技術應該體現在資產與負債管理、現金流量管理、壓力測試、應急計劃、限額管理、信息系統等方面，并形成有效的管理制度。

第十五條 本行根據監管要求和內部流動性風險管理政策設定流動性風險限額，并根據限額的性質確定相應的監測頻度。

第十六條 本行通過建立完善有效的流動性風險管理內部控制體系、制定適當的流動性風險管理內部控制制度，確保流動性風險管理程序的完整和有效。5第十七條 本行將流動性風險管理納入內部審計的范疇，定期審查和評價流動性風險管理體系的充分性和有效性。內部審計應涵蓋流動性風險管理的所有環節。

第十八條 本行通過建立完善的管理信息系統，準確、及時、持續地計量、監測、管控和匯報流動性風險狀況。管理信息系統應能確保董事會、高級管理層 及相關部門適時了解有關流動性風險管理的事項。

本行在引入新產品、新技術手段，建立新機構、新業務部門前，在可行性研究中充分評估其對流動性風險產生的影響，并制定相應風險管理措施，完善內部控制和信息管理系統。引入并運行后，加強日常監測，定期評估相應措施的有效性，并根據需要及時進行調整。第十九條 本行按照監管要求定期披露流動性風險管理情況，在出現流動性危機時，適時披露相關情況說明以提高交易對手、客戶及公眾的信心，最大限度地減少信息不對稱可能給本行帶來的不利影響。

第四章 流動性風險管理的程序

第二十條高級管理層按季度向董事會風險管理委員會提交本行流動性風險 管理書面監測報告，詳細說明風險管理情況和下一步完善措施。

第二十一條 對本行發生的重大流動性風險事件，高級管理層應及時啟動應 急計劃，并在第一時間向董事會風險管理委員會和監管部門報告。第二十二條 內部審計部門定期對流動性風險進行內部審計，審計結果直接 向董事會風險管理委員會報告；對監管部門現場檢查和內外部審計機構審計中發 現的問題，在高級管理層落實整改措施后，及時向董事會風險管理委員會報告。第五章 考核與獎懲

第二十三條董事會將流動性風險管理情況納入到對董事、高級管理層 的履職考核中。

第二十四條 高級管理層應針對流動性風險管理建立明確的內部評價考核機6制，將各分支機構或主要業務條線形成的流動性風險與其收益掛鉤，從而有效地防范因過度追求短期內業務擴張和會計利潤而放松對流動性風險的控制。

第二十五條 針對本行流動性風險管理的內部評價考核機制，本行應建立相關問責制度，以推動業務發展質量的全面提升。第六章 附 則

第二十六條本政策由南京銀行股份有限公司董事會風險管理委員會負責 解釋。

第二十七條本辦法自董事會批準之日起執行。

第三篇：信息科技與電子銀行風險管理

信息科技與電子銀行風險管理專題

信息科技發展現狀

? 完成了全省數據大集中

? 各類業務系統和管理信息系統不斷豐富 ? 更好更快更優的服務

? 對業務的支撐作用越來越大

? 信息科技地位和受關注程度越來越高 ? 信息科技風險日益積聚 信息科技風險的概念

? IT風險是指在對信息科技的運用過程中，由于自然因素、人為因素、技術漏洞、管理缺陷產生的操作風險、法律和聲譽等風險。

? 特點：風險發生時影響較大

風險出現具有不確定性

對風險的估計或防范手段不足

對其他風險具有傳導性

? 對當前農村合作金融機構而言，最大的風險是對科技的不夠了解，以至于沒有納入日常管理內容。

? 信息科技風險管理的目標：通過建立有效的機制，實現對商業銀行信息科技風險的識別、計量、監測和控制，促進商業銀行安全、持續、穩健運行，推動業務創新，提高信息技術使用水平，增強核心競爭力和可持續發展能力。

近年銀行信息科技風險事件

? 2007年3月21日，某全國性銀行因主機監控軟件存在缺陷，導致業務交易阻塞，系統癱瘓近4個小時，所有營業網點無法正常開展業務;

? 8月15日，某全國性銀行對計算機系統進行升級，但由于沒有避開業務高峰期，導致個人業務系統運行不暢，業務辦理速度緩慢，部分代理證券業務受阻，在持續5個半小時之后，系統才逐步恢復正常 ；

? 12月21日，某全國性銀行因運行中心核心網絡設備出現故障，造成業務無法正常進行，雖啟動應急預案，但仍然中斷營業近1個小時；

? 08年元月7日，某地方銀行因主干專線的接入設備發生故障，造成在京117家支行網點柜臺交易緩慢，業務無法正常進行，故障持續1個多小時才得以解決。

? 06年4月，某大型銀行間組織發生系統故障，導致所有銀行卡跨行業務影響8個多小時

? 2010年，發生多起某全國性銀行、地方性銀行、外資銀行、銀行間組織等嚴重信息科技運行事故。

監管當局VS信息科技風險

? 2006年，銀行業機構信息科技風險評價審計通知；

? 2007年，落實信息科技風險評價審計整改及自評估工作的通知 ? 2008年，發布《銀行業重要信息系統應急管理規范（試行）》； ? 2009年，發布《商業銀行信息科技風險管理指引》 ? 2010年，發布《商業銀行數據中心監管指引》、《銀行業金融機構重要信息系統投產及變更管理辦法》、《銀行業金融機構外包風險管理指引等》

目前存在的主要風險及應對措施

? 內控制度建設不完善，沒有將科技納入日常管理工作范圍

二級法人體制下的科技建設矛盾和信息安全管理的矛盾

主要業務平臺和結算渠道建設完成后,行社將成為特色業務、產品創新的主要角色

信息化快速發展造成行社科技管理的缺失：

對系統功能沒有充分了解，影響業務管理，如授權、流程、勞動組合、產品創新

? 科技人員不足、內部審計的空缺

現狀：科技人員的缺乏，法人行社內部審計對科技信息風險管理監測的缺失

措施：未雨綢繆，結合精英培養工程，制定人才補充、培養計劃

內部審計部門應配備足夠的資源和具有專業能力的信息科技審計人員，獨立于本銀行的日?；顒?，具有適當的授權訪問本銀行的記錄

充分重視科技隊伍建設，做好人才儲備，關鍵崗位

實現A、B崗

? 沒有正確認識業務與科技關系

科技的工具作用：引領作用、創新作用

科技工具的雙面性：提高生產力水平和風險的隱蔽性、聚集性

關鍵工作：

業務規劃、市場調研：科技充分介入

業務需求說明書：科學、詳細，業務為主、科技參與

測試：重點關注、運行風險及業務風險關鍵

科技工作特點:風險大、責任大、壓力大

科技人員工作軟環境：理解、認可、支持，科技人員不是電工

科技為業務服務，科技需要走在業務的前面

? 外包風險將是銀行未來主要關注的信息科技風險

案例：

2006年4月21日，許霆與朋友郭安山利用ATM機故障漏洞取款，許取出17.5萬元，許霆被廣州中院判處無期徒刑。

2010年5月23日，云南農信昆明關雨信用社ATM出現故障，何鵬取1000元，取款機吐出了3700，ATM大方送錢近6萬元。何鵬被抓，判無期，去年最高人民法院又改判為8年6個月。

措施：關鍵系統維護必須嚴格管理，制定完善的實施方案，清晰職責、履行審批手續，雙人操作，換人復核，做好維護記錄。

自己的系統自己管，落實制度、不能偷懶，外面的人員更要嚴管

? 訪問控制（內外網互聯）

案例：

2004年，某大學生非法侵入合肥多家銀行的計算機盜取客戶資料，并公布于互聯網上，對銀行聲譽產生了很大影響，該案是公安部成立網監部門后破獲的第一起案件，該罪犯被判處2年徒刑。

某銀行員工，采用撥號接入方式，在家中登陸業務系統，非法竊取資金500多萬。

措施：關鍵系統維護必須嚴格管理，制定完善的實施方案，履行審批手續，雙人操作，換人復核，做好維護記錄。

專機專用、內外網物理分離、部署檢測工具軟件、不在外網機器存放敏感、涉密信息

? 由業務而導致的科技風險

案例：

2010年，某大型銀行一分行，提交50000筆代發工資業務，隨即又進行取消操作，導致該行計算機系統停止服務20小時，該分行行長被調離崗位，科技部門負責人受到處分。

分析：數據修改、批量代發、中間業務等，業務對科技風險具有傳導性。

措施：嚴格操作管理，對批量業務事先做好準備工作。計算機物理環境風險

? 計算機實體安全：資源管理、冗余、防盜、變更、維護 ? 機房基礎設施：防火、防水、溫控、冗余 ? 機房出入管理：門禁、登記、陪同、監控 ? 值班與監控： ? 物理安全域

所有設備都要有備份、冗余 銀行卡的種類及功能

? 按照能否提供透支功能，銀行卡可分為信用卡和借記卡 ? 針對發卡對象的不同，銀行卡可分為單位卡和個人卡

? 按銀行卡的帳號幣種不同，銀行卡可分為人民幣卡、外幣卡和雙幣種卡 ? 儲蓄功能、支付結算功能、匯兌轉賬功能、消費信貸功能 銀行卡業務風險

? 銀行卡風險管理的一般原則： ? 確定管理目標 ? 進行風險評價

? 風險控制及處置

銀行卡風險管理的原則

? 銀行卡業務特有風險管理原則：

? 從上到下的風險管理策略和流程明晰化原則

? 深刻理解風險和收益對稱的原則

? 應用統計手段和系統化管理的原則

? 有效風險管理組織架構的原則。

銀行卡業務風險

? 銀行卡風險：信用風險、市場風險、操作風險、法律政策風險、聲譽風險

? 借記卡風險較低，主要是管理責任，包括：反洗錢、受理環境保障、風險提示義務 銀行卡業務風險

? 信用風險：是指由于持卡人主觀或者客觀上的原因，違約拒付欠款而產生的壞賬風險，由于信用卡屬于無擔保、無抵押的小額消費信貸產品，因此，信用風險是信用卡業務的一個最主要損失來源。

? 應對措施：做好信用卡申請人員的身份、還款來源的審查工作，系統提供預警機制。? 操作風險：是指由于人員、系統以及業務流程方面的問題而產生的風險，主要包括欺詐風險、內部操作風險、中介機構交易風險和系統安全風險。

? 欺詐風險又分為欺詐性申請和欺詐性交易。欺詐者盜用他人身份信息而申請開戶信用卡，是欺詐性申請，欺詐者盜取卡片或卡片的信息進行刷卡，是欺詐性交易。? 欺詐風險也是目前最嚴重、危害最大的一類風險。

? 應對措施：一是加強本行信息系統安全管理，建立各種交易風險監控機制，構建數據分析和風險預測模型，? 二是加大與中國銀聯、公安部門及同業之間的信息溝通與交流合作，共享銀行卡風險信息和風險控制的最新措施，通過各方的力量化解風險事件，? 三是做好銀行卡受理環境的預防工作，按照“誰發卡，誰負責”和“誰發展的特約商戶，誰負責”的原則建立發卡機構和收單機構責任追究制度，定期對特約商戶進行回訪制度；加大對收單機構人員銀行卡受理流程的培訓，做到規范受理，不給犯罪分子可乘之機。

? 四是加強對自助設備的巡查和監控力度。

? 五是加強銀行卡風險宣傳工作，提高持卡人風險防范意識。? 內部操作風險

? 是指銀行工作人員違規操作或操作失誤造成銀行資金損失，或者工作人員利用職務之便，與不法分子勾結、串通作案，引起發卡行或客戶資金損失的風險。

? 與外部欺詐風險和中介機構交易風險相比，此類案件不具有普遍性，但是由于是內部專業人員作案，手段更加隱蔽，對銀行聲譽的影響也更嚴重。? 規范內部流程、明確崗位責任、加強監督制約

? 聲譽風險：往往是一種結果性的體現，銀行卡業務環節中某一個利益主體在出現欺詐風險、系統安全風險或法律、政策性風險時，其未必會有直接性的財務損失，但往往會影響其良好品牌形象的維護，從而間接帶來經濟上的損失

? 聲譽風險也來自于客戶的錯誤操作或是疏忽。安全風險會被夸大從而導致客戶對銀行失去信心。

? 克隆網站、釣魚網站等虛假網站會帶來客戶敏感信息泄露，引起資金損失從而影響銀行聲譽。

案例一：2009年3月8日，雷某在深圳某ATM機取錢，在正常輸入密碼后，聽到點鈔聲，但出鈔口未見錢出來，這時，雷某看到ATM機旁有一張“溫馨提示”，就按照“溫馨提示”留下的“服務熱線”撥過去，對方在電話中稱事主的銀行卡出現故障，卡內資金已不安全，要求按提示轉移到另一“安全賬戶內”，雷某立即在ATM上進行轉賬。導致資金受損1萬元

? 應對措施：加強對ATM機和轉賬業務的管理，未經持卡人主動申請并書面確認，發卡機構不得為持卡人開通電話轉賬、ATM轉賬、網上銀行轉賬等自助轉賬類業務 ? 為持卡人開通自助轉賬業務時，要向持卡人充分提示開通有關業務的風險，并要對持卡人進行更為嚴格的真實身份核查，確保實名開戶。同時提示持卡銀行卡密碼設置不能過于簡單、銀行卡與身份證等證件盡量不要放在一處保管，領卡時及時在卡片背面簽署持卡人姓名，不要在不安全的網站鏈接網銀。

總結

? 風險是可以轉移的 ? 風險就是收益

? 最大的風險是不能正確認識風險，不能充分管理風險

第四篇：信息科技風險管理經驗交流

額敏縣農村信用合作聯社

信息科技風險管理經驗交流

塔城地區銀監分局：

根據塔城地區銀監分局《關于召開2011年塔城地區銀行業金融機構信息科技風險管理聯席會議的通知》要求，現將和額敏縣農村信用合作聯社信息科技風險管理情況匯報如下：

一、信息科技風險管理基本情況

為提高安全管理意識，充分認識信息科技風險管理工作的重要性，建立了一把手負責制，明確信息科技風險管理的職責權限，逐級落實信息科技管理責任，嚴格事故追究責任制。成立了以聯社理事長為組長、領導班子成員為副組長、各相關部門及營業網點主任為成員的信息科技工作領導小組，制定了信息科技應急處置預案，明確了因信息科技風險導致營業網點發生業務故障時，聯社各相關部門需采取的措施和步驟，提高了對信息科技風險的預防和處置能力。

2009年10月，自治區聯社鑒于各縣級聯社信息科技風險管理技術力量薄弱，管控能力較差等情況，以地區為單位成立了科技分中心，對各聯社信息科技工作和部分重要設備統一進行管理，并每季對網點進行一次科技風險管理巡檢。

二、聯社信息科技應用情況

（一）網絡情況。目前我社各網點均通過租用電信公司專線與直接與塔城地區科技分中心相聯，業務專線與因特網物理隔離，可以有效的防止了網絡不法分子對我社業務網絡

攻擊和破壞。對部分重要的網絡設備、參數（如網點路由器）由地區科技分中心進行備份。

目前我社網點全部建立了電話線路備份，如網點專線出現故障，通過向地區科技分中心申請后，可以使用電話備份線路辦理業務。

（二）生產環境。為提高農村信用社的業務發展，增強業務處理能力，自治區農村信用社使用了數據集中模式，數據集中到自治區聯社科技中心。各項應用系統的維護、數據備份等由自治區科技中心操作。

（三）科技管理。

我社所有電腦均安裝網絡版殺毒軟件，并及時進行更新，防止病毒傳播和有害程序注入，保證了網點和機關各部門的電腦穩定安全運行。

三、存在的問題

由于縣聯社沒有專職或兼職科技管理人員，對縣聯社的新業務軟件上線，軟硬件的日常維護，科技分中心距離縣聯社較遠，技術支掙不是很方便。如網點線路關鍵設備發生故障，不能迅速排除故障，可能造成網點停業時間較長。

今后我社將在自治區聯社的領導下，在地區銀監局的正確監管下，加強信息科技風險防范，努力提高信息科技防范工作力度，做好對敏感信息的保護和應急能力建設，確保我社信息科技工作穩定、安全發展。

額敏縣農村信用合作聯社

二〇一一年四月二十六日

第五篇：銀行信息科技風險自查報告

銀行信息科技風險自查報告

在人們越來越注重自身素養的今天，報告的適用范圍越來越廣泛，我們在寫報告的時候要注意語言要準確、簡潔。你還在對寫報告感到一籌莫展嗎？以下是小編為大家收集的銀行信息科技風險自查報告，僅供參考，歡迎大家閱讀。

按照上級領導的指示，我行認真貫徹精神，為充分做好重要時期金融網絡和信息系統安全保障工作，防范我行信息科技風險，保障計算機系統運行和操作安全，建立和完善信息科技風險管理機制。對我行的信息科技工作進行了一次全面的自我評估及審查。現將審查情況報告如下：

一、設備間建設規范和管理規范

（1）設備間安裝了溫濕度儀表，以用來監控機房溫度和濕度，并能夠及時開啟控溫控濕設備來保證機房的溫度和濕度。

（2）設備間每周由網點經理或支行行長來對設備間的環境狀況進行檢查，并登記成冊，以確保設備間保持整潔和規范。

（3）設備間嚴格控制出入人員，并保證營業網點外來人員有相關證件登記。

（4）支行技術人員每年一次對設備間的主要設備進行巡檢，確保設備能夠正常使用，并在相關登記本上記錄。

二、應急管理和終端安全

（1）支行會不定期對一些預案進行檢查，確保這些預案是最新的，且告知網點人員張貼在需要的地方。

（2）支行每年會抽取一定的網點人員進行培訓和演練，并書寫心得和體會，確保網點人員能夠正確的應對突發狀況。

（3）支行每月會不定期的抽查相關電腦的軟件安裝情況，檢查是否存在私自安裝不必要的軟件，以及是否私自開通ADSL等違規的網絡。

一、網絡運行風險

1、來自互聯網和移動磁介質上病毒的攻擊。隨著我區農村信用社電子化建設的發展，計算機技術在農村信用社各項業務中的廣泛應用，部分員工因病毒防范意識較為薄弱，加上計算機水平又是參差不齊，有的員工很難主動發現客戶端系統出現的漏洞從而實施補丁升級，U盤濫用且從不進行病毒掃描，這樣就容易造成內部信息泄漏或網絡阻塞，中斷重要業務的正常運行。

二、操作流程風險

隨著業務的更新和科技步伐的加快，員工的計算機操作業務能力與嚴格執行規范程序不適應,綜合柜員制未能全面落實,不能夠完全掌握農信社的各項業務操作流程及處置程序,必然會造成操作失誤而導致風險。操作風險大致分為以下幾方面:

1、操作行為不規范,安全防范意識差。目前，我區農村信用社計算機操作員一般只通過了短期輔導培訓，未能全面掌握計算機理論知識及運用技術，主要表現在：一是一些操作人員對計算機知識的`缺乏，

經常出現操作性錯誤；二是操作人員基本安全意識不強，缺乏安全防范意識；三是人員調離或崗位變動時不及時注銷操作員，導致操作員不便于管理；四是人離機不退，個別人隨意離開工作崗位，也不簽退，給他人可乘之機，造成了嚴重的信息安全隱患。

2、不嚴格執行操作流程，造成安全隱患。由于部分員工跟不上當前農村信用社電子化建設步伐，對推出的硬件設備以及電子化產品及功能不熟悉或風險意識不強等原因造成了在操作過程中出現系列風險。一是操作人員不嚴格執行硬件設備的操作流程，造成設備損壞，致使重要業務中斷的風險；二是沒有定期對機器除塵、保養，使微機在較惡劣環境下帶“病”工作，計算機運行報錯或元器件損壞時有發生，影響了信用社窗口的服務效率和形象；三是不嚴格按照業務操作流程操作業務系統程序，給他人或科技結算中心造成不必要的負擔。

為此我們將嚴格按照省市聯社關于計算機管理的一系列相關要求，對日常計算機信息管理中存在的問題經行重點監督和整改：

1、嚴格業務系統、辦公系統與因特網等公眾系統的隔離，無法隔離的要隨時升級殺毒程序，同時嚴格移動磁介質的使用范圍、殺毒流程。加強員工計算機知識培訓，提高員工的電腦操作技能，制定防

毒策略，養成良好的上網習慣，嚴防病毒侵害。

2、加強對一線人員的操作流程、各項基本規定的培訓，加強對信息專管員的培訓，提高其處理計算機及網絡故障、防范計算機及網絡風險的能力；對業務操作人員要重點抓好計算機知識的普及培訓工作，建立各種形式的崗位培訓和定期輪訓制度，提高職工的政治素質、業務技能、敬業精神、計算機業務操作水平和安全防范綜合能力。一線人員的操作和授權不能流于形式，堅決杜絕各種混崗現象，嚴格遵循管理制度。

3、嚴格操作規范及操作權限管理

隨著農村信用社的發展，信貸系統，財務系統，OA系統的成功上線并投入使用，操作人員必須學習和掌握農村信用社的操作流程和各項規章制度,加強制度執行力的管理。操作員密碼必須定期不定期修改，并嚴格按規定設置操作員及操作員密碼，還需定期修改密碼，多用字母或符號，嚴禁使用6位相同數字或電話號碼或生日號碼等，嚴禁口頭或電話告知操作密碼。

4、加強內控建設，強化監督，完善防范機制。首先，建立柜員崗位制約為主，做到責任到崗、落實到人、相互制約、互相監督。其次，

全面落實以主任、內勤主任為主的監管體系，確保做到實時監管，及時發現問題，及時進行整改，消除風險隱患。再則，加強會計事后監督和電視監控系統管理，加大查處力度，重點是督促基層社各項計算機制度執行與落實，提升基層執行力，以此推進和完善防范制度，切實做到防患于未然。

5、日常維護方面，由基社信息專管員負責每周一次對機房衛生清理和設備故障排查，發現問題及時上報科技信息部處理；每月在各基社網點信息專管員的配合下，對網絡設備的運行和管理進行維護和檢查至少一次，全轄的ATM和POS機由科技信息部統一管理，落實基社網點專人負責，加大專管人員的培訓，使日常操作、維護工作和安全防范措施得以落實。

一、網絡運行風險

來自互聯網和移動磁介質上病毒的攻擊。隨著我區農村信用社電子化建設的發展，計算機技術在農村信用社各項業務中的廣泛應用，部分員工因病毒防范意識較為薄弱，加上計算機水平又是參差不齊，有的員工很難主動發現客戶端系統出現的漏洞從而實施補丁升級，U盤濫用且從不進行病毒掃描，這樣就容易造成內部信息泄漏或網絡阻塞，中斷重要業務的正常運行。

二、操作流程風險

隨著業務的更新和科技步伐的加快，員工的計算機操作業務能力與嚴格執行規范程序不適應,綜合柜員制未能全面落實,不能夠完全掌握農信社的各項業務操作流程及處置程序,必然會造成操作失誤而導致風險。操作風險大致分為以下幾方面:

1、操作行為不規范,安全防范意識差。目前，我區農村信用社計算機操作員一般只通過了短期輔導培訓，未能全面掌握計算機理論知識及運用技術，主要表現在：

一是一些操作人員對計算機知識的缺乏，經常出現操作性錯誤；

二是操作人員基本安全意識不強，缺乏安全防范意識；

三是人員調離或崗位變動時不及時注銷操作員，導致操作員不便于管理；

四是人離機不退，個別人隨意離開工作崗位，也不簽退，給他人可乘之機，造成了嚴重的信息安全隱患。

2、不嚴格執行操作流程，造成安全隱患。由于部分員工跟不上當前農村信用社電子化建設步伐，對推出的硬件設備以及電子化產品及功能不熟悉或風險意識不強等原因造成了在操作過程中出現系列風險。

一是操作人員不嚴格執行硬件設備的操作流程，造成設備損壞，致使重要業務中斷的風險；

二是沒有定期對機器除塵、保養，使微機在較惡劣環境下帶“病”工作，計算機運行報錯或元器件損壞時有發生，影響了信用社窗口的服務效率和形象；

三是不嚴格按照業務操作流程操作業務系統程序，給他人或科技結算中心造成不必要的負擔。

為此我們將嚴格按照省市聯社關于計算機管理的一系列相關要求，對日常計算機信息管理中存在的問題經行重點監督和整改：

1、嚴格業務系統、辦公系統與因特網等公眾系統的隔離，無法隔離的要隨時升級殺毒程序，同時嚴格移動磁介質的使用范圍、殺毒流程。加強員工計算機知識培訓，提高員工的電腦操作技能，制定防毒策略，養成良好的上網習慣，嚴防病毒侵害。

2、加強對一線人員的操作流程、各項基本規定的培訓，加強對信息專管員的培訓，提高其處理計算機及網絡故障、防范計算機及網絡風險的能力；對業務操作人員要重點抓好計算機知識的普及培訓工作，建立各種形式的崗位培訓和定期輪訓制度，提高職工的政治素質、業務技能、敬業精神、計算機業務操作水平和安全防范綜合能力。一線人員的操作和授權不能流于形式，堅決杜絕各種混崗現象，嚴格遵循管理制度。

3、嚴格操作規范及操作權限管理

隨著農村信用社的發展，信貸系統，財務系統，OA系統的成功上線并投入使用，操作人員必須學習和掌握農村信用社的操作流程和各項規章制度,加強制度執行力的管理。操作員密碼必須定期不定期修改，并嚴格按規定設置操作員及操作員密碼，還需定期修改密碼，多用字母或符號，嚴禁使用6位相同數字或電話號碼或生日號碼等，嚴禁口頭或電話告知操作密碼。

4、加強內控建設，強化監督，完善防范機制。首先，建立柜員崗位制約為主，做到責任到崗、落實到人、相互制約、互相監督。其次，全面落實以主任、內勤主任為主的監管體系，確保做到實時監管，及時發現問題，及時進行整改，消除風險隱患。再則，加強會計事后監督和電視監控系統管理，加大查處力度，重點是督促基層社各項計算機制度執行與落實，提升基層執行力，以此推進和完善防范制度，切實做到防患于未然。

5、日常維護方面，由基社信息專管員負責每周一次對機房衛生清理和設備故障排查，發現問題及時上報科技信息部處理；每月在各基社網點信息專管員的配合下，對網絡設備的運行和管理進行維護和檢查至少一次，全轄的ATM和POS機由科技信息部統一管理，落實基社網點專人負責，加大專管人員的培訓，使日常操作、維護工作和安全防范措施得以落實。