返回首页
专家观点CURRENT AFFAIRS
专家观点 / 正文
重视财务公司信息科技风险与防范

  企业集团财务公司承担着集团资金集中平台的重要责任,作为非银行金融机构,财务公司的信息科技安全问题一直是信息化建设面临的首要问题。

  财务公司的信息科技风险不小于商业银行。在财务公司的各类风险中,信息科技风险能够导致公司全部业务在瞬间瘫痪,信息科技风险防范应该成为财务公司全面风险管理的重要任务。

  财务公司信息科技风险尚存

  部分财务公司对信息科技缺少长远规划,导致信息系统跟不上新业务的开展,对信息科技方面进行同期规划而对信息系统进行新功能开发或是更新换代都会对财务公司造成很大影响,不仅造成财务公司投资的损失,还影响集团整体资金管理战略部署的实施。

  部分财务公司仅在公司董事会、分管综合事务的高级管理层进行信息科技的工作决策,而有的财务公司虽然建立了信息科技管理委员会,但没有信息科技人员参与,无法做出专业的判断。

  财务公司信息科技管理制度也存在3个方面的问题。一是制度的内容不完整,制定方法不科学;二是制度滞后于实际情况,部分财务公司并未及时根据实际情况对制度内容进行及时调整和修改;三是制度流于形式,缺乏必要的约束力,影响到信息科技制度工作的权威性。

  财务公司的信息科技能力较弱,大部分财务公司只能采购科技厂商的通用产品,难以及时应对新业务创新或监管部门的新要求。同时,在信息系统整体架构上缺乏全面布局,不同厂商软件产品之间缺乏标准化接口,导致信息系统之间的业务处理越来越复杂,改造难度越来越大,业务处理能力越来越低。

  在外包开发过程中,有些财务公司信息科技管理部门仅请业务部门和厂商共同讨论需求及技术实施方案,缺少技术论证和评审,信息科技管理部门缺乏有效的测试过程和方法,而业务部门未对待上线的功能进行详细完整的测试,导致新功能投产后出现业务处理错误。

  财务公司信息科技安全形势严峻。

  一是外部网络接入安全方面的管理难度大。财务公司在互联网上的应用系统面临安全风险,如果互联网应用系统被入侵,进而可能对财务公司内网进行渗透。

  二是身份认证体系有待健全。有些财务公司没有建设统一的身份认证及统一登录系统,存在着身份认证方式简单、强密码安全策略执行困难的安全问题。

  三是工作终端的安全防护薄弱。大多数财务公司没有建立准入控制系统,缺乏对终端设备有效及时的监控管理手段,容易发生病毒传播、木马植入、信息泄露、外接互联网等风险。

  四是网络的安全防护有待加强。很多财务公司虽然在网络上设置了防火墙,并将网络进行分级管理,但在网络设置上将二级系统与三级系统置于同一安全域,一旦二级系统遭受攻击,可能导致该安全域全面失守。

  五是系统主机安全加固不及时。信息科技管理部门通过购买厂商维保服务来保障应用的正常运行。而厂商的服务响应时间无法及时保证,存在着业务间断的风险。

  六是运行维护管理不够精细。在信息系统日常运维操作的管理上,有些财务公司缺乏有效的维护操作流程,缺乏有效的监督管理,系统运维人员一旦在维护过程中有错误操作,将造成不可挽回的损失。

  提升信息科技安全的可行之法

  财务公司应在治理架构、制度体系、基础设施、风险评估和整改等方面采取有效措施,不断完善科技治理框架,建立符合财务公司发展战略的信息科技发展战略,搭建信息科技风险管理三道防线,才能有效控制和化解信息科技风险。

  一方面,健全信息科技治理架构,制定信息科技风险策略。

  财务公司应持续健全并完善信息科技治理框架,明确董事会、高管层、信息科技领导委员会、信息科技管理部门关于信息科技风险管理的职责分工,建立职责明确、报告关系清晰的信息科技治理组织结构和信息科技风险管理、决策机制,确保信息科技建设战略符合总体发展战略;建立以信息技术部、风险控制部、稽核部为主体的信息科技风险防范三道防线,分清职责、理顺流程、落实责任,形成较为完备的管理、监督和问责机制。

  财务公司还应制定符合实际情况的信息科技风险管理策略,明确信息科技风险管理的指导原则及工作开展的基本思路,根据监管机构有关信息科技风险管理的要求,结合自身业务和信息化发展远景,通过实施具体的风险管控措施,将信息科技风险降低或控制在适当的水平。

  另一方面,推进信息科技制度体系建设,加强人才队伍建设。

  财务公司需要不断完善信息科技规章制度,明确信息科技规章制度的层级关系,将信息科技制度按制度层级、实施范围、执行对象等分级分类覆盖全面信息科技工作。财务公司要重视信息科技队伍的建设,通过外聘、内部培养双通道来保证信息科技人才队伍的来源,并在激励考核机制上下工夫,提高信息科技人员的工作主动性。

  此外,还要加强信息科技基础设施建设,筑牢安全防护基础。

  财务公司应制定业务连续性管理体系建设规划,可依托集团公司,采用运营外包方式建立灾难备份中心,将主要信息系统纳入灾备管理中。在进行系统架构规划时,应至少满足5年的性能要求,并定期进行评估。财务公司可依托集团公司的网络规划和设计理念,遵循安全标准,根据金融机构的特点,采用集约化理念设计网络安全策略,并定期聘请有资质的信息安全测评单位对主要信息系统进行渗透性测试和持续监控,及时发现问题并及时处理,提升应用系统的整体安全性。

  财务公司还需要制定符合本单位信息科技实际情况的安全预案,并要做到及时更新和定期演练,确保安全预案的切实可行。同时,应建立覆盖全公司计算机终端的桌面管理系统和计算机病毒防治系统,有条件的财务公司可采用业务专机或虚拟桌面办理业务,实现业务终端与互联网上网终端的安全分离,降低信息泄露的风险。 (本文作者供职于中国石化财务有限责任公司)

责任编辑:袁浩