重視財務公司信息科技風險與防範

作者: 伊人影院科技集團 / 時間: 2019-05-20 08:44:29
瀏覽次數 191

  企業集團財務公司承擔著集團資金集中平台的重要責任,作為非銀行金融機構,財務公司的信息科技安全問題一直是信息化建設麵臨的首要問題。

  財務公司的信息科技風險不小於商業銀行。在財務公司的各類風險中,信息科技風險能夠導致公司全部業務在瞬間癱瘓,信息科技風險防範應該成為財務公司全麵風險管理的重要任務。

  財務公司信息科技風險尚存

  部分財務公司對信息科技缺少長遠規劃,導致信息係統跟不上新業務的開展,對信息科技方麵進行同期規劃而對信息係統進行新功能開發或是更新換代都會對財務公司造成很大影響,不僅造成財務公司投資的損失,還影響集團整體資金管理戰略部署的實施。

  部分財務公司僅在公司董事會、分管綜合事務的高級管理層進行信息科技的工作決策,而有的財務公司雖然建立了信息科技管理委員會,但沒有信息科技人員參與,無法做出專業的判斷。

  財務公司信息科技管理製度也存在3個方麵的問題。一是製度的內容不完整,製定方法不科學;二是製度滯後於實際情況,部分財務公司並未及時根據實際情況對製度內容進行及時調整和修改;三是製度流於形式,缺乏必要的約束力,影響到信息科技製度工作的權威性。

  財務公司的信息科技能力較弱,大部分財務公司隻能采購科技廠商的通用產品,難以及時應對新業務創新或監管部門的新要求。同時,在信息係統整體架構上缺乏全麵布局,不同廠商軟件產品之間缺乏標準化接口,導致信息係統之間的業務處理越來越複雜,改造難度越來越大,業務處理能力越來越低。

  在外包開發過程中,有些財務公司信息科技管理部門僅請業務部門和廠商共同討論需求及技術實施方案,缺少技術論證和評審,信息科技管理部門缺乏有效的測試過程和方法,而業務部門未對待上線的功能進行詳細完整的測試,導致新功能投產後出現業務處理錯誤。

  財務公司信息科技安全形勢嚴峻。

  一是外部網絡接入安全方麵的管理難度大。財務公司在互聯網上的應用係統麵臨安全風險,福州比特幣,如果互聯網應用係統被入侵,進而可能對財務公司內網進行滲透。

  二是身份認證體係有待健全。有些財務公司沒有建設統一的身份認證及統一登錄係統,存在著身份認證方式簡單、強密碼安全策略執行困難的安全問題。

  三是工作終端的安全防護薄弱。大多數財務公司沒有建立準入控製係統,缺乏對終端設備有效及時的監控管理手段,容易發生病毒傳播、木馬植入、信息泄露、外接互聯網等風險。

  四是網絡的安全防護有待加強。很多財務公司雖然在網絡上設置了防火牆,並將網絡進行分級管理,但在網絡設置上將二級係統與三級係統置於同一安全域,一旦二級係統遭受攻擊,可能導致該安全域全麵失守。

  五是係統主機安全加固不及時。信息科技管理部門通過購買廠商維保服務來保障應用的正常運行。而廠商的服務響應時間無法及時保證,存在著業務間斷的風險。

  六是運行維護管理不夠精細。在信息係統日常運維操作的管理上,有些財務公司缺乏有效的維護操作流程,缺乏有效的監督管理,係統運維人員一旦在維護過程中有錯誤操作,將造成不可挽回的損失。

  提升信息科技安全的可行之法

  財務公司應在治理架構、製度體係、基礎設施、風險評估和整改等方麵采取有效措施,不斷完善科技治理框架,建立符合財務公司發展戰略的信息科技發展戰略,搭建信息科技風險管理三道防線,才能有效控製和化解信息科技風險。

  一方麵,健全信息科技治理架構,製定信息科技風險策略。

  財務公司應持續健全並完善信息科技治理框架,明確董事會、高管層、信息科技領導委員會、信息科技管理部門關於信息科技風險管理的職責分工,建立職責明確、報告關係清晰的信息科技治理組織結構和信息科技風險管理、決策機製,確保信息科技建設戰略符合總體發展戰略;建立以信息技術部、風險控製部、稽核部為主體的信息科技風險防範三道防線,分清職責、理順流程、落實責任,形成較為完備的管理、監督和問責機製。

  財務公司還應製定符合實際情況的信息科技風險管理策略,明確信息科技風險管理的指導原則及工作開展的基本思路,根據監管機構有關信息科技風險管理的要求,結合自身業務和信息化發展遠景,通過實施具體的風險管控措施,將信息科技風險降低或控製在適當的水平。

  另一方麵,推進信息科技製度體係建設,加強人才隊伍建設。

聲明:本網所有文章(包括圖片和音視頻資料)係出於傳遞更多信息之目的,且明確注明來源和作者,不希望被轉載的媒體或個人可與伊人影院聯係,伊人影院將立即進行刪除處理。所有文章僅代表作者觀點,不代表本站立場。