| 随着人民银行各项业务对计算机和网络的依赖程度越来越高,技术性风险也越来越大。为保障业务工作安全稳定运行,人民银行各级分支行都出台了一系列科技内控制度和配套的操作规程。为了解基层央行科技内控制度建设的现状,我们对科技内控制度建设情况开展了一次调查,并针对制度建设和执行过程中所面临的问题,提出了一点自己意见和建议,以供上级行决策时参考。
一、现行科技内控制度建设中存在问题
尽管各行都很重视,但就制度建设和执行方面,还仍然存在诸多不尽如意的地方,主要表现在3个方面。
1.内控制度建设方面
(1)制度欠严密,要求与实际不符。现行内控制度存在政出多门、要求不一致的现象,制度的制订与执行存在脱节的情况,尤其是上级行有关部门制订内控制度与科技部门协调沟通不够,如业务系统类内控制度往往只发到下级行对口部门,科技部门经常不了解这些制度,科技人员在系统维护时可能会出现不符合操作要求的情况。此外,上级行制订的制度是针对上级行自身的实际,没有考虑到基层的具体情况,制度在上级行能很好地执行,而在基层就无法执行。
(2)制度建设未能及时完善。随着各应用系统不断更新升级,对系统安全性要求越来越高,系统管理制度已经不能满足业务发展的需要。调查表明,多数科技内控制度还是2000年左右制订的,没有进行及时修订和完善,已经不能适应新形势的要求,也不利于相关部门对内控制度的执行情况进行监督检查和评价。
(3)制度建设缺失,业务操作无章可循。如总行在2006年底,从上到下建设了内联网补丁自动分发系统,可是对应的管理办法却迟迟没有下达,对系统策略的定义操作及系统安装界定没有明确的规定。由于没有制度的保障,造成基层科技人员日常工作不能很好地去开展。
(4)有些制度本身缺乏可操作性。由于制度本身的缺陷,有些制度内容只是原则性条文,缺少可操作性的实施细则或相应的操作规程,导致执行起来难度较大,从而在某种意义上容易导成制度“真空”或“摆设”。
2.制度落实执行方面
(1)重组织建设,轻责任落实。虽然各行都建立了计算机安全管理组织体系,成立了信息安全领导小组,各部门设立兼职计算机安全员,但在日常工作中其作用却没有很好地发挥出来,信息安全管理仍由科技部门单打独斗,尚未形成合力。
(2)重业务风险,轻科技安全。从领导到普通员工的思想意识上没有充分认识科技安全的重要性,存在传统的认识上发行、保卫和会计国库核算的重要性,而忽视了业务系统风险防范与科技安全管理的重要性,没有提升到应有的认识高度。
(3)重服务结果,轻过程管理。在科技服务过程中,随意性较大,特别是对ABS、TBS等重要系统升级等运行维护中,由于未建立严格的审批制度,只注重服务完成的结果,却忽视维护过程的记录,一旦出现问题,责任难以分清。纵观所有的事故和安全事件或案件的发生,究其原因,都是内控不严、执行不力、监管流于形式的结果。
3.科技队伍建设方面
目前,地市中心支行科技部门人员大多数只有4~6人,由于科技人员自身素质的限制,多少会存在一人多岗或关键岗位一人掌握的情况,增加了系统的维护风险,造成安全风险的过于集中。如内联网非法外联监控、病毒防治系统、入侵检测系统、补丁分发系统管理岗四个岗位,大多是一个人兼职,又如ABS、TBS、网络管理等重要岗位多集中一人,集安全管理和执行操作权限于一身,一旦该维护人员有事,造成系统的管理与维护风险,县支行这种情况就更加突出了。虽然设置了B角,但B角往往对系统也不是很熟悉,参加培训的机会也不多,很难马上胜任这个岗位。
二、加强内控制度建设的建议
1.进一步建立健全有效的、可操作的内控制度保障体系
(1)不断修改完善现有的科技内控管理制度。制度建设的过程应该是一个不断完善的过程,因此在建设和执行的过程中,既要保持制度的相对稳定,又要充分体现制度的权威性和严肃性,做到与时俱进。对每一项新业务系统的开发、应用均要制订相应的规章制度,做到技术开发和制度建设并举,技术应用和制度保障同步。科技人员又要树立和强化“风险首位”与“内控先行”的思想观念,所有操作人员,在制度的执行和落实过程中,要从小处着眼,不放过任何一个细小的问题和环节,发现问题及时总结并报告制度制订单位进行改进,逐步建立起“查找漏洞、完善制度、堵塞漏洞,边整边改”的制度保障体系。
(2)建立科技岗位内部制约机制。由于科技岗位的特殊性,因此,在加强对科技专业岗位培训和职业道德教育的同时,建立岗位内部制约机制。针对不同岗位的实际情况和可能存在的操作风险,进一步完善相关制度的实施细则,建立严密的岗位分工和明确的工作职责,实行定岗、定责,各司其职,各负其责,确保既相互协调又相互制约。在岗位职责的编制时,要重点关注工作流程细节的设计和优化,保证每项科技岗位和各个操作环节的程序化、标准化和责任化,切实做到对技术风险的可发现、可预警、可控制,从而避免制度或岗位的“真空”或“悬空”。要进一步理顺A、B角岗位之间的关系,要求A、B角都要熟悉所维护的系统,掌握维护技能,并适时进行AB岗位轮换。
(3)建议上级行统一制订通用管理制度。对于涉及业务系统类的内控制度,建议上级行业务主管部门会同科技部门,制订统一的操作规程和实施细则联合下发执行,让基层科技人员日常维护有章可循,避免运行维护的随意性;涉及科技系统类、科技管理类、安全管理类、支撑环境类、应急管理类有统一要求的、具备统一支撑环境的一些通用管理制度,由上级行科技主管部门统一制订、统一管理,统一执行,统一规范口径,统一检查标准,避免了各行制度要求和内容的不规范,也为科技部门开展科技现场和非现场检查带来科学的考评依据。同时,对重要业务系统,设计统一的科技服务和系统维护申请报告单,从而规范科技服务流程和服务行为。
2.进一步加强对制度落实情况的检查、监督,提升制度的执行力
一方面,为了防范技术人员在各项业务系统维护过程中可能出现的风险和安全隐患,必须严格按照已经制订的制度、办法、规程进行操作,规范科技服务行为。以重要业务系统运行维护、网络管理、信息安全为重点,充分利用技术和管理手段,加强对系统运行的日常监控,认真做好运维记录和日志的登记,逐步形成用制度规范行为、按制度办事、靠制度管人的运行维护工作机制。另一方面,要加强对制度落实情况的检查和监督,并建立责任追究机制,兑现奖惩。对于制度落实不到位,造成风险的人员要坚决实行责任追究,从而形成内在约束的良好氛围。只有强化制度约束,严格考核机制,做到有章必循,违章必究,令行禁止,才能把内控制度落实到位。
3.探索建立科技内控制度评价体系
事物都是在不断发展变化的,制度也亦然。内控制度是一种动态的控制过程,特别强调其时效性,有些内控制度在某一时点是适应的、可行的,但随着时间的推移和客观情况的变化,难免会出现不尽适应和相对的滞后性。因此,制度制订部门应该根据业务发展的变化,在调整、修订、补充和完善现行内控制度的同时,应会同有关部门建立内控制度评价体系,避免内控制度对其岗位行为的不协调性和风险控制上的滞后性,使内控制度建设紧跟科技形势和业务发展的需要。要充分发挥内审、纪检监察等再监督部门的作用,重视内部监督评价部门对内控制度科学性、公正性、可操作性等进行评价,听取他们对内控制度建设、执行效果、改进措施的意见和建议,促进内控制度建设走健康发展道路,提高内控制度建设的科学性和规范性。
4.构建内控管理制度建设长效机制
为进一步加强内控内管,构建内控管理制度建设长效机制,建议尽快建立全省统一的科技内控制度发布查询系统平台,实行最新制度的动态更新,从而更好地实施科技日常管理,有效提高科技工作质量和服务水平。为此,我们在这方面进行一些有益探索,已建立科技内控制度发布查询系统,其中包括了科技政策法规、内控文件等方面的发布、查询与管理。目前,已经收录总行、分行及合肥中心支行发布的文件、规章近60条,现该系统正在进一步完善之中。 |
