01 村鎮(zhèn)銀行事件背景

　　2022年7月10日許昌市公安局的警情通報：“…2011年以來，以犯罪嫌疑人呂奕為首的犯罪團伙通過河南新財富集團等公司,，以關(guān)聯(lián)持股,、交叉持股、增資擴股,、操控銀行高管等手段,，實際控制禹州新民生等幾家村鎮(zhèn)銀行，利用第三方互聯(lián)網(wǎng)金融平臺和該犯罪團伙設(shè)立的君正智達科技有限公司開發(fā)的自營平臺及一批資金掮客進行攬儲和推銷金融產(chǎn)品,，以虛構(gòu)貸款等方式非法轉(zhuǎn)移資金,，專門設(shè)立宸鈺信息技術(shù)有限公司刪改數(shù)據(jù)、屏蔽瞞報…”

　　2022年7月18日據(jù)中國銀行保險報報道,，公安機關(guān)已初步查明河南安徽5家村鎮(zhèn)銀行案件主要事實,，河南新財富集團操縱河南、安徽5家村鎮(zhèn)銀行,，通過內(nèi)外勾結(jié),、利用第三方平臺以及資金掮客等方式非法吸收并占有公眾資金，篡改原始業(yè)務(wù)數(shù)據(jù),，掩蓋非法行為,。該案件中村鎮(zhèn)銀行通過三方平臺以及微信小程序，大量異地攬儲,，資金高達400億元,，其中線上攬儲約300億，而線下儲戶資金有100億,。

　　從這次銀行事件的初步調(diào)查結(jié)果來看,，其發(fā)生的根源是由于這幾家村鎮(zhèn)銀行高管股東互相勾結(jié)，用符合銀保監(jiān)規(guī)定的流程手續(xù),，做了一套假的系統(tǒng),，跟第三方公司搞了個不入真賬的平臺,，以達到非法吸收并占有公眾資金的目的。本次事件中涉事的儲戶之多,，金額之大,，都是前所未有的，引起了社會各界的震動和對村鎮(zhèn)銀行金融安全的思考,。

　　此次事件不僅暴露了銀行內(nèi)部管理及外部監(jiān)管等方面的巨大漏洞,，而且金融科技管理方面的缺陷也對此事件發(fā)展起到了推波助瀾的作用。本文從村鎮(zhèn)銀行的金融科技安全的角度來看村鎮(zhèn)銀行如何來進行金融科技風險管理,。

　　02 村鎮(zhèn)銀行金融科技的發(fā)展現(xiàn)狀

　　村鎮(zhèn)銀行是在農(nóng)村地區(qū)設(shè)立的主要為當?shù)剞r(nóng)民,、農(nóng)業(yè)和農(nóng)村經(jīng)濟發(fā)展提供金融服務(wù)的銀行業(yè)金融機構(gòu)，近幾年村鎮(zhèn)銀行在國家的鼓勵下快速發(fā)展,，有效地填補了農(nóng)村地區(qū)金融服務(wù)的空白,，增加了農(nóng)村地區(qū)的金融支持力度，并在互聯(lián)網(wǎng),、大數(shù)據(jù)等新技術(shù)下在互聯(lián)網(wǎng)發(fā)展背景下不斷擴大業(yè)務(wù)規(guī)模和豐富業(yè)務(wù)內(nèi)容,。

　　2.1 中國村鎮(zhèn)銀行發(fā)展背景

　　2006年，為解決農(nóng)村地區(qū)銀行業(yè)金融機構(gòu)網(wǎng)點覆蓋率低,、金融供給不足,、競爭不充分等問題，銀監(jiān)會放寬了農(nóng)村銀行業(yè)金融機構(gòu)的準入政策,，2006年12月發(fā)布了《中國銀行業(yè)監(jiān)督管理委員會關(guān)于調(diào)整放寬農(nóng)村地區(qū)銀行業(yè)金融機構(gòu)準入政策更好支持社會主義新農(nóng)村建設(shè)的若干意見》,，內(nèi)容包括調(diào)整放寬農(nóng)村地區(qū)銀行業(yè)金融機構(gòu)準入政策，鼓勵在縣（市）設(shè)立村鎮(zhèn)銀行,。

　　國內(nèi)村鎮(zhèn)銀行試點在2006年12月啟動,，2007年3月首批村鎮(zhèn)銀行在國內(nèi)6個首批試點省誕生。銀保監(jiān)會數(shù)據(jù)顯示,，截至（2020年6月30日）,，全國已組建1633家村鎮(zhèn)銀行，截至2021年末,，我國村鎮(zhèn)銀行法人機構(gòu)數(shù)量達到1649家,，占全國銀行業(yè)金融機構(gòu)總數(shù)的36%左右。

　　村鎮(zhèn)銀行的發(fā)展促進了農(nóng)村地區(qū)形成投資多元,、種類多樣的銀行業(yè)金融服務(wù)體系,，更好地改進和加強農(nóng)村金融服務(wù)。村鎮(zhèn)銀行為我國縣域經(jīng)濟的發(fā)展貢獻了重要的力量,，是我國農(nóng)村金融的重要參與者之一,。

　　2.2 村鎮(zhèn)銀行的信息化建設(shè)現(xiàn)狀

　　村鎮(zhèn)銀行當前的信息化建設(shè)在一定程度上支撐了目前的業(yè)務(wù)發(fā)展，但依然存在以下突出問題：系統(tǒng)功能簡單,，外購系統(tǒng)無自主開發(fā)權(quán),，業(yè)務(wù)發(fā)展受限,；科技力量薄弱，系統(tǒng)運維管理不規(guī)范,，出現(xiàn)系統(tǒng)問題由外部公司技術(shù)人員遠程支持,；業(yè)務(wù)數(shù)據(jù)管理不規(guī)范，應(yīng)急災(zāi)備與業(yè)務(wù)連續(xù)性管理普通缺失,；風險管控薄弱,，存在很大安全隱患，很多業(yè)務(wù)相關(guān)數(shù)據(jù)不能在線監(jiān)測,，不利于管理行和監(jiān)管部門及時準確地掌握其實際經(jīng)營情況等,。

　　與國有商業(yè)銀行和股份制商業(yè)銀行相比，信息科技資金投入有限,，科技人才力量薄弱，自主開發(fā)與運維能力不足,，已成為村鎮(zhèn)銀行信息化建設(shè)面臨的最突出問題,，也埋下了諸多科技風險的隱患。

　　2.3 村鎮(zhèn)銀行面臨新技術(shù)新業(yè)務(wù)的挑戰(zhàn)

　　隨著金融信息化的成長與發(fā)展,，金融科技為傳統(tǒng)金融帶來了新思路,、新動力，引起了傳統(tǒng)金融經(jīng)營模式,、盈利模式,、服務(wù)模式等變化。金融科技同樣也給村鎮(zhèn)銀行的業(yè)務(wù)創(chuàng)新帶來了“彎道超車”的機會,。例如,，村鎮(zhèn)銀行可以利用互聯(lián)網(wǎng)渠道拓展業(yè)務(wù)，降低運營成本,。村鎮(zhèn)銀行利用金融科技轉(zhuǎn)型的形式主要包括直銷銀行,、網(wǎng)上銀行、第三方平臺,、公眾號,、小程序等。

　　相較于國有行和股份行在金融科技領(lǐng)域的大手筆投入,，絕大部分村鎮(zhèn)銀行受資本,、人才和業(yè)務(wù)規(guī)模的限制，難以獨立研發(fā)適用的金融科技系統(tǒng),，即便是購買了現(xiàn)成的創(chuàng)新類應(yīng)用系統(tǒng),，由于缺乏相關(guān)金融科技人才，也很難高效地利用起來,。因此,，村鎮(zhèn)銀行在本身信息科技能力先天不足的情況下,，又要面對同業(yè)在金融科技領(lǐng)域的競爭，被迫面臨許多新的挑戰(zhàn)與風險,。

　　03 村鎮(zhèn)銀行面臨的金融科技風險

　　據(jù)央行統(tǒng)計,，截至2021年第二季度，共有122家村鎮(zhèn)銀行為高風險機構(gòu),，占全部高風險機構(gòu)的29%左右,。村鎮(zhèn)銀行的金融科技風險包括自身固有風險和常見信息科技風險。

　　3.1 村鎮(zhèn)銀行自身固有風險

　　村鎮(zhèn)銀行由于其自身的特點,，容易導(dǎo)致由于門檻較低帶來的準入風險,，由互聯(lián)網(wǎng)平臺合作帶來的業(yè)務(wù)安全風險，以及由于外包帶來的IT外包安全風險等固有風險,。

　　村鎮(zhèn)銀行門檻較低帶來的準入風險

　　2007年中國銀行業(yè)監(jiān)督管理委員印發(fā)《村鎮(zhèn)銀行管理暫行規(guī)定》,，在地、縣（市）,、在鄉(xiāng)（鎮(zhèn)）設(shè)立的村鎮(zhèn)銀行,，其注冊資本為不低于人民幣5000萬、300萬和100萬元人民幣,。

　　因為相比傳統(tǒng)銀行業(yè)來說,，村鎮(zhèn)銀行較低的準入門檻，增加了金融機構(gòu)關(guān)聯(lián)持股,、交叉持股,、增資擴股、操控銀行高管的固有風險,。極低的參與門檻,，讓不懷好意的人能輕易地拿到“銀行”的招牌，這也是本次事件亂象背后的深層次原因之一,。

　　與第三方互聯(lián)網(wǎng)平臺合作帶來的業(yè)務(wù)風險

　　2019年開始,，注重互聯(lián)網(wǎng)營銷的第三方平臺的產(chǎn)品逐漸成熟，村鎮(zhèn)銀行由于業(yè)務(wù)擴張的需求,，一般都會通過互聯(lián)網(wǎng)與眾多第三方平臺對接,，獲得巨大的入口流量，以開展攬儲業(yè)務(wù),，吸收更多的公眾存款,。特別是在2021年央行和銀保監(jiān)會叫停了互聯(lián)網(wǎng)存款業(yè)務(wù)后，許多小銀行包括村鎮(zhèn)銀行為了保留已有客戶和業(yè)務(wù)發(fā)展,，紛紛將已有客戶引流到自己的小程序,、公眾號或者銀行APP，以繼續(xù)提供銀行存款服務(wù)，促使了小程序,、公眾號或者銀行APP用戶群體的快速發(fā)展和壯大,。

　　但是這種多方合作往往存在平臺交易流程不透明、交易過程信息不對稱等問題,，從而帶來交易過程出現(xiàn)問題難以快速解決而導(dǎo)致業(yè)務(wù)風險,，并且由于互聯(lián)網(wǎng)平臺的加入，將使這種原屬于小型村鎮(zhèn)銀行的地方性金融風險擴大為全國范圍內(nèi)的系統(tǒng)性風險,。同時由于多方合作具有主體金融機構(gòu)多元,、職能復(fù)雜、數(shù)據(jù)龐大,、業(yè)務(wù)交叉等特點,，導(dǎo)致風險的潛伏時間長，難以及時發(fā)現(xiàn)風險萌芽,。

　　對村鎮(zhèn)銀行金融科技的監(jiān)管風險

　　當前我國的金融監(jiān)管部門對銀行保險業(yè)和證券期貨業(yè)的大中型機構(gòu)的信息科技監(jiān)管規(guī)范及監(jiān)管手段相對成熟,，各行業(yè)監(jiān)管部門對金融機構(gòu)的信息科技監(jiān)管規(guī)范的持續(xù)發(fā)布和監(jiān)管檢查與評級已開展多年，取得了良好的效果,。但針對小型金融機構(gòu),，特別是村鎮(zhèn)銀行，不僅是在業(yè)務(wù)監(jiān)管方面存在監(jiān)管不徹底的問題,，而且在金融科技方面的監(jiān)管方面也沒有引起足夠的重視，存在較大的空缺,。

　　同時,，由于我國采用傳統(tǒng)的分業(yè)監(jiān)管機制，比如互聯(lián)網(wǎng)行業(yè)由工信部監(jiān)管,，金融行業(yè)由銀保監(jiān)會監(jiān)管,。這種機制對于跨行業(yè)的業(yè)務(wù)監(jiān)管，比如對于各金融業(yè)務(wù)尤其是新興的金融科技業(yè)務(wù)存在監(jiān)管重疊和監(jiān)管空白問題,。

　　另外,，缺乏有效的監(jiān)管技術(shù)手段也是造成監(jiān)管不到位的重要原因。例如,，本次涉事村鎮(zhèn)銀行開發(fā)的自營平臺,，搭建了一個跟村鎮(zhèn)銀行網(wǎng)銀體系一模一樣的網(wǎng)銀系統(tǒng)，表面看上去一切正常,，但錢實際上沒有進入銀行賬戶,，而是流入了大股東控制的外部賬戶，就是因缺乏有效的技術(shù)性監(jiān)管手段而造成的村鎮(zhèn)銀行兩套賬戶的非法事件,。

　　3.2村鎮(zhèn)銀行常見信息科技風險

　　村鎮(zhèn)銀行由于其自身能力與人才的不足,，其IT系統(tǒng)一般采用由發(fā)起行協(xié)助開發(fā)、外部廠商定制開發(fā)或租用第三方平臺應(yīng)用等形式，這種以外部力量建立銀行IT系統(tǒng)有其方便快捷的好處,，但后續(xù)IT系統(tǒng)的運營管理是村鎮(zhèn)銀行普遍存在的薄弱環(huán)節(jié),，會帶來較大的IT外包、日常運維,、數(shù)據(jù)安全及新技術(shù)應(yīng)用等方面的安全風險,。

　　IT外包風險

　　基于成本和人才的原因，較小的村鎮(zhèn)銀行一般不會設(shè)立自己的研發(fā)部門,，銀行會把核心業(yè)務(wù)系統(tǒng)及輔助性系統(tǒng)交給IT硬件廠商,、軟件廠商及專業(yè)服務(wù)廠商來做，以縮短開發(fā)周期和減少人力成本,，外包人員在人員能力和安全意識方面都參差不齊,。而村鎮(zhèn)銀行往往外包管理的能力不足，這將給金融業(yè)務(wù)帶來較大的舞弊操作,、敏感數(shù)據(jù)泄露,、業(yè)務(wù)無法快速恢復(fù)等安全風險。

　　日常運維風險

　　村鎮(zhèn)銀行的業(yè)務(wù)應(yīng)用系統(tǒng)投產(chǎn)上線后,，還需要做好日常運維管理工作,，如果由于存在日常操作規(guī)范、網(wǎng)絡(luò)安全防護,、事件管理,、變更管理、應(yīng)急響應(yīng)與處置,、運行記錄保存,、數(shù)據(jù)備份恢復(fù)等方面的缺陷，將造成銀行的IT系統(tǒng)停機,、外部入侵,、業(yè)務(wù)中斷、合規(guī)處罰等風險,。

　　數(shù)據(jù)安全風險

　　隨著金融科技的快速發(fā)展,，村鎮(zhèn)銀行利用互聯(lián)網(wǎng)支付、理財,、征信,、保險等金融業(yè)務(wù)平臺，累積了大量的金融數(shù)據(jù),，但是村鎮(zhèn)銀行安全管理能力有限,，無法對數(shù)據(jù)安全進行有效的管理，從而面臨著數(shù)據(jù)泄露,、丟失,、篡改,，以及非法使用的可能，由于金融科技風險快速蔓延的特點,，造成遭受巨額損失的風險增大,，甚至可能破壞原本穩(wěn)定安全的國家金融環(huán)境。

　　新技術(shù)應(yīng)用風險

　　隨著金融科技的快速發(fā)展,，村鎮(zhèn)銀行為拓展渠道,、開展業(yè)務(wù)，也會越來越多利用云計算,、大數(shù)據(jù),、移動互聯(lián)、人工智能等新技術(shù),，開展金融業(yè)務(wù)中的智能身份識別,、大數(shù)據(jù)征信、業(yè)務(wù)反欺詐,、網(wǎng)上支付,、互聯(lián)網(wǎng)理財與保險等方面的開發(fā)與應(yīng)用。但是由于村鎮(zhèn)銀行對新興技術(shù)的安全管理能力有限,，在未知的安全漏洞和不斷升級的“黑產(chǎn)”攻擊面前顯得力不從心,，不可避免地面臨著巨大的安全風險與合規(guī)風險；同時由于互聯(lián)網(wǎng)平臺廣泛覆蓋和新技術(shù)風險快速蔓延的特點,，造成遭受巨額損失的風險在不斷增大,，甚至可能會引起破壞國家金融穩(wěn)定的重大事件。

　　04 對村鎮(zhèn)銀行金融科技風險管控的建議

　　村鎮(zhèn)銀行應(yīng)在有利于防范風險,、有利于拓展支農(nóng)支小特色服務(wù),、有利于完善公司治理的前提下，加強對自身金融科技的風險管理,。

　　一方面，監(jiān)管部門應(yīng)建立健全針對村鎮(zhèn)銀行金融科技的監(jiān)管要求,，并利用社會力量監(jiān)督執(zhí)行,；另一方面，村鎮(zhèn)銀行應(yīng)充分利用發(fā)起行在信息科技方面的技術(shù)與管理優(yōu)勢,，必要時可引入同業(yè)合作資源和第三方IT外包資源,，開展有自身特色的信息系統(tǒng)的建設(shè)，并建立與信息系統(tǒng)運行管理模式相匹配的信息科技風險管理體系,，強化網(wǎng)絡(luò)安全,、業(yè)務(wù)連續(xù)性、IT外包等領(lǐng)域的風險防控,，保障數(shù)據(jù)安全及信息系統(tǒng)平穩(wěn),、持續(xù)運行。

　　以下分別從加強對村鎮(zhèn)銀行金融科技的監(jiān)管和提高村鎮(zhèn)銀行自身金融科技管理水平兩個維度提出加強村鎮(zhèn)銀行金融科技安全的建議。

　　村鎮(zhèn)銀行金融科技安全框架

　　4.1 對加強村鎮(zhèn)銀行金融科技監(jiān)管的建議

　　從完善村鎮(zhèn)銀行金融科技監(jiān)管要求,、提升監(jiān)管科技水平,、利用社會力量開展IT審計三個方面提出如下監(jiān)管建議：

　　完善對村鎮(zhèn)銀行金融科技的監(jiān)管規(guī)范要求

　　應(yīng)充分利用我國在銀行保險業(yè)和證券期貨業(yè)的長期信息科技監(jiān)管中積累的經(jīng)驗，制定并發(fā)布村鎮(zhèn)銀行金融科技監(jiān)管規(guī)范,，指導(dǎo)村鎮(zhèn)銀行開展金融科技風險管理,，確保村鎮(zhèn)銀行的金融科技能夠在IT治理、信息基礎(chǔ)設(shè)施建設(shè),、IT規(guī)劃與項目管理,、系統(tǒng)開發(fā)運行管理、安全防護,、數(shù)據(jù)管理,、新技術(shù)應(yīng)用、應(yīng)急災(zāi)備,、IT外包等方面建立有效的管理機制,，確保信息科技工作目標與業(yè)務(wù)發(fā)展目標一致，增強村鎮(zhèn)銀行核心競爭力,，促進村鎮(zhèn)銀行安全,、持續(xù)、穩(wěn)健發(fā)展,。

　　另一方面,，針對涉及移動互聯(lián)網(wǎng)、大數(shù)據(jù),、人工智能,、區(qū)塊鏈等新興技術(shù)的金融業(yè)務(wù)領(lǐng)域，各行業(yè)監(jiān)管部門,、政府相關(guān)部門及企業(yè)應(yīng)聯(lián)合起來,，共同研究制定適用的新技術(shù)安全監(jiān)管規(guī)范和操作指引；完善跨行業(yè)的金融科技合規(guī)要求,，制定相關(guān)監(jiān)管細則并嚴格實施,，從根本上對村鎮(zhèn)銀行涉及的新技術(shù)風險管控思路與方法加以指導(dǎo)，從源頭上遏制村鎮(zhèn)銀行利用新技術(shù)和互聯(lián)網(wǎng)平臺時可能造成金融風險無限擴大的可能性,。

　　提升監(jiān)管科技水平,，延伸監(jiān)管視角到重要業(yè)務(wù)環(huán)節(jié)

　　由于監(jiān)管思路及監(jiān)管力量的約束，我國當前監(jiān)管部門對于金融機構(gòu)的監(jiān)管重點大多放在大中型金融機構(gòu)身上,，而對于像村鎮(zhèn)銀行這類小微型金融機構(gòu)的監(jiān)管投入有限,；而且，監(jiān)管的方式多停留在事前管理,，注重規(guī)范市場準入的條件,，而往往忽略事中,、事后的全過程的監(jiān)管，易造成監(jiān)管不徹底,，形成監(jiān)管空缺,。由于新技術(shù)的發(fā)展和互聯(lián)網(wǎng)應(yīng)用的深入，當前包括村鎮(zhèn)銀行在內(nèi)的小微型金融機構(gòu),，所引起的風險程度并不能完全以其自身的規(guī)模大小來衡量,，小微型金融機構(gòu)由于金融科技利用不當也可能造成大范圍的系統(tǒng)性風險。這應(yīng)當引起監(jiān)管部門的足夠警覺,。

　　金融科技安全是金融安全的底座,，防范系統(tǒng)性金融安全風險，應(yīng)加快相關(guān)監(jiān)管科技的創(chuàng)新,，建立全方位的信息系統(tǒng)安全管理機制和豐富監(jiān)管手段,，加強金融業(yè)務(wù)和數(shù)字科技結(jié)合的監(jiān)管。比如開展金融事件的大數(shù)據(jù)關(guān)聯(lián)分析,，標準化風險描述方法和格式,，識別金融事件發(fā)生的各個要素，細化描述金融事件發(fā)生過程,，并以結(jié)構(gòu)化的方式對風險加以展現(xiàn),；同時對金融事件中的金融數(shù)據(jù)等信息記錄為數(shù)字風險臺賬，建立風險雷達,，運用AI技術(shù)前瞻性地研判風險情景,；以及利用網(wǎng)絡(luò)分析、機器學(xué)習等技術(shù),，智能識別海量金融科技交易,，設(shè)置金融科技安全風險閾值，并進行安全報警,，實時監(jiān)督,、管控各類違法違規(guī)行為。

　　利用社會力量對村鎮(zhèn)銀行科技風險開展IT審計

　　當前金融機構(gòu)中的大中型銀行,、保險和證券等機構(gòu)已經(jīng)建立較為完整的監(jiān)管審查與評價制度,，而且開展獨立的第三方IT審計也已實施多年。主管部門及其地方分支機構(gòu)的行政監(jiān)管式的審查,，一般只能把精力集中在大中型金融機構(gòu)的關(guān)鍵信息基礎(chǔ)設(shè)施和最重要金融科技事項的審查與評價上，無法覆蓋到大多數(shù)小微型金融機構(gòu),。因此,，當前金融監(jiān)管部門通過制定政策，號召和利用社會上的第三方力量,，參加金融科技安全風險評價與IT審計工作就顯得尤為重要,。

　　在歐美,，第三方安全評價與IT審計已經(jīng)形成了一個巨大的市場，出現(xiàn)了一批專業(yè)從事第三方安全評價與IT審計的新興公司,。所有的服務(wù)類企業(yè),，例如Google、Amazon,、Microsoft等,，每年都需要第三方機構(gòu)對其進行獨立審計，出具的SOC1,、SOC2,、SOC3審計報告，其中SOC2的審計報告主要就是IT審計報告,。這一機制催生一個龐大的IT審計服務(wù)的市場,。

　　我國有關(guān)部門也在積極制定政策，推進第三方IT審計工作的開展,。例如,，中國內(nèi)審協(xié)會已制定規(guī)范IT審計的信息系統(tǒng)審計指南，國家信息安全測評中心2018年5月發(fā)布了第一批“信息系統(tǒng)審計服務(wù)資質(zhì)”,。此外,，銀監(jiān)會2009年發(fā)布《商業(yè)銀行信息科技風險管理指引》要求銀行要開展IT內(nèi)部和外部審計，國家審計署2012年發(fā)布了《計算機審計實務(wù)公告第34號》,，證監(jiān)會2016年11月發(fā)布了《證券期貨業(yè)信息系統(tǒng)審計指南 》等也促進了國內(nèi)IT審計市場的逐步形成,。

　　因此，主管部門可以針對村鎮(zhèn)銀行金融科技安全的要求,，制定相關(guān)規(guī)范和標準,，引導(dǎo)社會上的第三方力量參與金融科技安全的評價與審計工作，形成主管部門監(jiān)管審查與第三方IT審計相結(jié)合的金融科技安全監(jiān)管大環(huán)境,，利用社會力量來完成對包括村鎮(zhèn)銀行在內(nèi)的小微型金融機構(gòu)的科技風險的監(jiān)督工作,，從而護航村鎮(zhèn)銀行金融科技的健康發(fā)展。

　　4.2 對提高村鎮(zhèn)銀行自身金融科技管理水平的建議

　　村鎮(zhèn)銀行應(yīng)該從信息科技治理,、基礎(chǔ)設(shè)施及應(yīng)用系統(tǒng)建設(shè),、開發(fā)運維管理、網(wǎng)絡(luò)安全與科技風險管理,、同業(yè)合作管理,、IT外包管理等方面加強對金融科技的管控。

　　優(yōu)化信息科技治理機制,，提升信息科技管理水平

　　村鎮(zhèn)銀行應(yīng)根據(jù)市場定位和業(yè)務(wù)戰(zhàn)略,，結(jié)合本行的管理水平和技術(shù)能力，選擇自主管理和主發(fā)起行管理等因地制宜的模式,，優(yōu)化法人及最高管理層負責制,，積極采用自建,、同業(yè)合作或外包的方式開展信息科技工作。

　　村鎮(zhèn)銀行應(yīng)成立信息科技管理部門,，引入必要的金融科技人才,，制定符合總體業(yè)務(wù)規(guī)劃的金融科技戰(zhàn)略、IT架構(gòu)標準,、IT制度流程,、信息科技運行計劃和信息科技風險評估計劃，確保配置足夠人力,、財力資源,，維持穩(wěn)定、安全的信息科技環(huán)境,。

　　加強信息科技基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用系統(tǒng)建設(shè)

　　村鎮(zhèn)銀行應(yīng)重視信息科技基礎(chǔ)設(shè)施建設(shè),，必要時引入符合金融監(jiān)管要求的云計算資源；信息科技基礎(chǔ)設(shè)施應(yīng)滿足資源共享,、便于管理,、安全可靠的原則，并符合可擴展和易維護的要求,，為各類信息科技應(yīng)用提供支持和服務(wù),。

　　村鎮(zhèn)銀行信息系統(tǒng)應(yīng)具備有效支持各項銀行業(yè)務(wù)開展所需的功能，滿足村鎮(zhèn)銀行發(fā)行銀行卡,、建立支付結(jié)算渠道,、發(fā)展電子銀行業(yè)務(wù)、創(chuàng)新金融產(chǎn)品等需求,；具備與業(yè)務(wù)處理要求相匹配的良好性能,；對于現(xiàn)代化支付、銀行卡聯(lián)網(wǎng),、征信等系統(tǒng),，原則上應(yīng)實現(xiàn)信息系統(tǒng)集中接入和集約管理。

　　完善村鎮(zhèn)銀行信息科技開發(fā)與運維管理

　　村鎮(zhèn)銀行應(yīng)建立健全信息系統(tǒng)開發(fā)和運行管理的制度與流程,，涵蓋需求管理,、項目管理、采購管理,、開發(fā)管理,、測試管理、驗收管理,、問題管理和變更管理等內(nèi)容,。

　　應(yīng)制定信息系統(tǒng)的運行操作規(guī)范，說明系統(tǒng)操作人員的任務(wù)、工作日程,、執(zhí)行步驟，并根據(jù)信息系統(tǒng)生產(chǎn)變更情況及時修訂,；應(yīng)制定信息系統(tǒng)故障管理流程,，明確信息系統(tǒng)故障分類分級、報告路線,、應(yīng)急處置,、原因分析等工作流程和管理要求；建立信息系統(tǒng),、網(wǎng)絡(luò),、機房環(huán)境的實時監(jiān)控平臺，及時發(fā)現(xiàn),、處理問題,，盡量減小損失。

　　制定數(shù)據(jù)管理制度,，村鎮(zhèn)銀行生產(chǎn)數(shù)據(jù)的所有權(quán)歸村鎮(zhèn)銀行,，村鎮(zhèn)銀行以外的單位未經(jīng)授權(quán)，不得查詢,、使用,、變更、銷毀村鎮(zhèn)銀行生產(chǎn)數(shù)據(jù),。規(guī)范數(shù)據(jù)備份的工作流程和管理要求,，明確數(shù)據(jù)備份介質(zhì)的安全保存要求，嚴格執(zhí)行數(shù)據(jù)備份策略并定期檢查,。

　　加強村鎮(zhèn)銀行的網(wǎng)絡(luò)安全管理和信息科技風險管理

　　村鎮(zhèn)銀行應(yīng)建立符合等級保護要求的網(wǎng)絡(luò)安全管理體系,，涵蓋物理安全、網(wǎng)絡(luò)安全,、系統(tǒng)安全,、加密技術(shù)、日志管理等內(nèi)容,；村鎮(zhèn)銀行應(yīng)建立有效的應(yīng)急管理體系,，確保重要信息系統(tǒng)突發(fā)事件發(fā)生后快速恢復(fù)，降低或消除因重要信息系統(tǒng)服務(wù)中斷造成的影響和損失,；村鎮(zhèn)銀行應(yīng)重視業(yè)務(wù)連續(xù)性管理,，指定綜合管理部門為業(yè)務(wù)連續(xù)性管理主管部門，明確業(yè)務(wù)連續(xù)性管理執(zhí)行,、保障部門,，以及業(yè)務(wù)連續(xù)性管理、業(yè)務(wù)連續(xù)性計劃制定,、演練與改進等職責,。

　　村鎮(zhèn)銀行應(yīng)將信息科技風險納入全面風險管理框架,，明確信息科技風險管理工作的主管部門，建立與業(yè)務(wù)發(fā)展規(guī)劃,、經(jīng)營目標,、管理職責相適應(yīng)的信息科技風險管理策略，有效識別,、計量,、監(jiān)測和控制信息科技風險。

　　加強同業(yè)合作,，快速可靠地提升科技應(yīng)用與管理水平

　　村鎮(zhèn)銀行應(yīng)綜合評估擬受托同業(yè)機構(gòu)的行業(yè)經(jīng)驗,、科技實力和管理能力等，遵循平等,、自愿,、誠信、互利的原則,，委托同業(yè)機構(gòu)承擔村鎮(zhèn)銀行信息科技服務(wù)工作,，受托同業(yè)機構(gòu)應(yīng)建立有效的信息科技治理機制，對其承擔的村鎮(zhèn)銀行信息科技工作負有科技風險管理責任,，并配合村鎮(zhèn)銀行信息科技審計工作,；各簽約方應(yīng)建立良好的溝通協(xié)調(diào)機制，應(yīng)指定部門負責信息科技事項的溝通工作,，確保信息科技服務(wù)及時,、到位。

　　加強IT外包管理,，利用外部資源彌補自身的不足

　　村鎮(zhèn)銀行由于其自身的開發(fā)能力和專業(yè)人才方面的局限性,，在核心業(yè)務(wù)系統(tǒng)開發(fā)、業(yè)務(wù)數(shù)據(jù)管理,、網(wǎng)絡(luò)安全防護,、新技術(shù)新渠道應(yīng)用等方面通過信息科技外包的方式引入外部產(chǎn)品和服務(wù)廠商的支持，以克服自身能力的不足,。

　　村鎮(zhèn)銀行應(yīng)從頂層推動開展信息科技外包管理體系建設(shè),，完善外包制度和流程建設(shè)，定期對外包管理工作落實情況進行監(jiān)督,，建立信息科技外包管理組織與職責,，合理規(guī)劃科技外包制度體系框架，形成科技外包制度體系管控模式,。

　　在外包服務(wù)實施過程中,，村鎮(zhèn)銀行應(yīng)當對服務(wù)提供商的財務(wù)、內(nèi)控及安全管理進行持續(xù)監(jiān)控，關(guān)注其因破產(chǎn),、兼并,、關(guān)鍵人員流失、投入不足和管理不善等因素引發(fā)的財務(wù)狀況惡化及內(nèi)部管理混亂等情況,，防范外包服務(wù)意外終止或服務(wù)質(zhì)量的急劇下降,。

　　總之，村鎮(zhèn)銀行的金融科技安全應(yīng)從監(jiān)管層面加強金融科技監(jiān)管,，提升監(jiān)管科技水平，同時并在村鎮(zhèn)銀行層面提升自身金融科技規(guī)劃建設(shè)與安全管控的水平,，以提供合理的科技治理機制和可靠的科技安全底座,，確保村鎮(zhèn)銀行的健康發(fā)展。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<