[摘要]随着农村信用社业务发展和金融信息化进程的迅速推进,信息系统建设成为农村信用社内部管理与控制的重要手段。我们应加强对信息系统建设的内部风险控制,确保农村信用社信息系统建设的安全性和稳定性,保证信息系统的有效运行,全面提高农村信用社信息系统应用水平,实现农村信用社全面风险控制的目标。
[关键词]农村信用社 信息系统 内部风险控制
一、信息系统及项目建设过程中的主要风险
信息系统,是指利用计算机和通信技术,搜集、储存并按照特定的规则和方式加工处理有关信息,通过反馈机制对信息的获取及处理过程加以修正,获得满足特定目的的信息化业务处理及管理应用平台。根据应用系统的功能不同,信息系统分为管理信息系统和业务信息系统。信息系统建设大体分四个阶段:项目立项阶段、业务需求阶段、系统开发阶段、上线运行阶段。在这四个阶段中主要的风险有:
1.项目立项风险。信息系统建设规划不合理或因论证、评估不充分、不全面而导致立项决策失误,可能造成项目重复建设,导致内部经营管理效率低下。
2.业务需求风险。业务需求不符合内部控制要求,对原需求申请理解偏差、系统控制功能描述不完整、不清晰等因素,对系统开发进度造成影响,可能导致无法利用信息技术实施有效的风险控制。
3.系统开发风险。系统开发管理不当,没有按照业务需求进行开发,导致与业务需求出现偏差,未达到风险控制要求。
4.系统上线风险。系统运行维护和安全措施不到位,可能导致信息泄漏或毁损,系统无法正常运行。wwW.11665.cOm
二、信息系统项目建设的内部风险控制及措施
农村信用社应当重视信息系统在内部控制中的作用,根据内部控制要求,结合组织架构、业务范围、地域分布、技术能力等因素,制定信息系统建设整体规划,加大投入力度,有序组织信息系统开发、运行与维护,优化管理流程,防范经营风险,全面提升农村信用社现代化管理水平。信息系统建设必须经过正式授权。具体程序包括:信用社内部辖属部门提出业务需求、业务需求归口管理部门审核、归口管理部门分管领导授权批准立项、项目人员形成开发需求、系统分析人员设计方案等。项目建设时应当成立项目管理小组,负责信息系统的开发,对项目整个过程实施监控。
1.项目立项时,必须充分理解原提出需求申请的内容,按规定程序进行充分论证、评估,论证、评估要全面、透彻,既要保证系统功能实现风险控制的合法、合规,又要保证信息系统实现的可行性。应当根据信息系统建设整体规划提出项目建设方案,明确建设目标、人员配备、职责分工、经费保障和进度安排等相关内容,按照规定的权限和程序审批后实施。
2.需求编写时,业务需求归口管理部门应当组织辖属机构提出开发需求和关键控制点,规范需求编写流程,明确需求说明书的业务风险功能控制、实现目标等,具体内容描述必须完整、正确、清晰。需求评审必须严格规范,确保评审内容全面,意见一致。需求变更必须严格按规定程序,经充分论证、审批后进行变更,同时必须保证需求说明书版本的及时更新。
3.系统开发时,信息科技部门应归规范开发流程,明确系统设计、编程、安装调试、验收等全过程的管理要求,严格按照建设方案、开发流程和相关要求组织开发工作。信息科技部门在开发信息系统时,应充分考虑业务和信息的信成性,优化流程,并将相应的处理规则嵌入到系统程序中,以预防、检查、纠正错误,防范风险,确保信用社业务活动的真实性、合法性和效益性。信息系统开发应当做到以下几方面:
(1)信用社应当根据自身特点、规模、管理理念、组织结构、核算方法等因素设计适合本单位的信息管理系统和业务应用系统。(2)信息系统的建设应当能起到降低成本、纠正偏差的作用,根据成本效益原则,信用社可以选择对重要事项中的关键因素进行信息系统的改造。(3)信息系统的建设应当将信息系统与信息系统管理理念整合,信用社应当倡导全体员工积极参与信息系统项目建设,正确理解和使用信息系统,提高信息系统运行效率。(4)信用社开发信息系统,应当将业务流程、关键控制点和处理规则嵌入系统程序,实现手工环境下难以实现的控制功能。应当在信息系统中设置操作日志功能,确保操作的可审计性。对异常的或者违背内部控制要求的交易和数据,应当设计由系统自动报告并设置跟踪处理机制。(5)信息系统业务归口管理部门应当加强信息系统开发全过程的跟踪管理,加强与信息科技部门的日常沟通和协调,督促开发单位按照建设方案、计划进度和质量要求完成编程工作,对配备的硬件设备和系统软件进行检查验收。
4.系统上线时,应当至少完成整体测试和用户验收测试,确保系统风险控制的正确性,以保证系统的安全运行。归口管理部门和科技部门应当切实做好信息系统上线的各项准备工作,培训业务操作和系统管理人员,制定科学的上线计划和新旧系统转换方案,考虑应急预案,确保新旧系统顺利切换和平稳衔接。系统上线涉及数据迁移的,还应制定详细的数据迁移计划。信息系统原设计功能未能正常实现时,项目负责人应当指定相关人员负责详细记录,并及时报告归口管理部门。归口管理部门负责系统业务需求的变更及控制。信息系统上线后,发生的功能变更,应当参照系统开发的审批和上线程序执行。信用社应当采用预防性措施,确保计算机信息系统的持续运行。具体包括但不限如下措施:
(1)应当加强信息系统运行与维护的管理,制定信息系统工作程序、信息管理制度以及各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题,确保信息系统按照规定的程序、制度和操作规范持续稳定运行。
(2)应当建立信息系统变更管理流程,信息系统变更应当严格遵照管理流程进行操作。信息系统操作人员不得擅自进行系统软件的删除、修改等操作;不得擅自升级、改变系统软件版本;不得擅自改变软件系统环境配置。
(3)应当根据业务性质、重要性程度、涉密情况等确定信息系统的安全等级,建立不同等级信息的授权使用制度,采用相应技术手段保证信息系统运行安全有序。企业应当建立信息系统安全保密和泄密责任追究制度。
(4)应当建立用户管理制度,加强对重要业务系统的访问权限管理,定期审阅系统账号,避免授权不当或存在非授权账号,禁止不相容职务用户账号的交叉操作。
