王伯兴 李艳

摘 要：村鎮银行是农村金融市场不可或缺的参与者，对三农、小微企业和县域经济发展起到积极的促进作用，是农村普惠金融服务体系建设的重要组成部分。本文从村镇银行信息化建设现状入手，明晰了村镇银行在信息化建设方面的发展情况，分析了村镇银行信息化发展值得关注的安全风险，提出了控制信息化风险进而降低局部性金融风险的建议。

关键词：村镇银行；信息化建设；风险分析

中图分类号：F830.46 文献标识码：A 文章编号：1674-0017-2018（4）-0066-04

陕西省目前有28家村镇银行，分布在全省各个地区，成为“支农支小”的生力军，成为农村金融服务格局的必要组成部分，同时也为民营资本进入金融领域提供了契机并起到了示范作用。目前信息化已成为银行生存和发展的重要保障，是促进服务水平提升、维护金融稳定的重要支撑。作为政策性很强的新型农村金融机构，村镇银行信息化建设在防范风险持久发展中起着重要作用。

一、陕西省村镇银行信息化发展现状

（一）信息化建设情况

1.资金投入。全省村镇银行建行时信息化建设投入资金主要用于机房建设、网络设备购置和线路租用、发电机和UPS后备电源购置、电脑购置以及业务系统的开发运维。建行后期信息化建设资金投入力度减弱，其中10家呈现逐年下降趋势，8家逐年平稳，6家呈现上升趋势。值得注意的是，这6家信息化建设资金投入逐年上升的村镇银行，在存贷款规模、人员数量、网点数量上都处于前列，在一定程度上表明，信息化建设资金投入力度与其发展有着一定的良性互动关系。

2.建设模式。目前，我国村镇银行信息化建设模式大体有三种，分别为自建、依托发起行建设、托管第三方服务商建设。据统计，陕西省28家村镇银行中有5家依托第三方服务商进行信息化的建设与后期运维，23家依靠发起行实施建设与后期运维。业务系统或直接接入发起行的业务系统，或采用发起行开发成型的村镇银行业务系统。全省没有完全自主建设信息化的村镇银行。

3.机房建设。机房建设是村镇银行信息化建设的一项重要指标。全省村镇银行机房面积平均20平，最大60平，最小仅4.5平。实际走访中发现，一些机房选址欠缺，靠近有水源、仓库的地方，或机房内直接有水管通过；受风险防控意识淡薄和机房面积小双重影响，大多没有实现网络设备和后备电源的物理隔离。虽均配有空调系统，有的还配有双空调备用，但防范漏水隐患措施不够。防静电地板的高度大多不够国标最低标准，地板内无防尘、防静电处理。灭火器还存在干粉型等不适合电子类产品的灭火装置。

4.网络接入。村镇银行接入金融城域网主要有四种模式，分别为独立申请接入、本地某金融机构代理接入、发起行代理接入、同一发起行设立的村镇银行由其中一家代理汇聚接入。陕西省28家村镇银行中有8家独立申请接入，10家依托发起行代理接入，8家由同一发起行旗下的一家村镇银行代理汇聚接入，2家由本地某金融机构代理接入。

5.应用服务。村镇银行均使用桌面信息安全管控软件，12家使用symantec系统，10家使用360系统，3家使用瑞星，2家使用趋势科技，1家使用麦咖啡。在互联网服务方面，19家建设有互联网网站，向客户提供互联网金融服务。网络运营商均为2家通讯线路热备，26家建设有硬件防火墙进行网络安全性防控。此外有6家村镇银行建设有无线网络灾备系统，以应对突发的网络中断。

（二）信息化管理情况

村镇银行信息化制度建设意识淡薄，大多直接搬用或者套用发起行制度，而发起行在规模、资金、系统数量、技术能力上与村镇银行大有区别，因此村镇银行的信息化制度体系与实际工作的贴合度不高，不能完全发挥其指导、规范、管理作用。信息化内部风险的控制与监管主要为本单位科技人员和主管领导的日常巡查监督以及发起行每年度的相关审计。

应急管理方面，村镇银行均能做到开展应急演练工作，演练内容主要涉及网络、业务系统、机房及后备电源。演练队伍采取“自建队伍+发起行+第三方服务商”多方协作的模式，前台由本行人员实施，后台由发起行或第三方服务商远程协助。演练次数平均为3次/年，但各行的次数差异较大，应急演练的效果和应急预案的可行性得不到有效保障。

在数据灾备方面，20家村镇银行每日在本地保存一份业务数据，同时上传一份至发起行或第三方托管服务商的数据中心。8家村镇银行仅上传当日数据，本地不保存数据备份。灾备措施均依靠发起行或第三方托管服务商的数据灾备中心。在应急措施上，机房内均安装有机房环境检测系统，26家配置有备有发电机或签约发电车。

（三）机构人员情况

28家村镇银行中，明确成立信息安全委员会负责本单位信息化工作。占比60%，设立独立的信息化管理部门负责日常信息化工作的占比不到15%。由于村镇银行的规模小、业务单一、系统数量少的原因，一般只配备一到两名兼职科技人员承担本单位日常简单的技术维护工作，人员归属于其他部门统筹管理。核心的、有难度的网络和系统维护还须依靠发起行或者第三方托管服务商。截止2017年5月底，全部科技从业人员占全员数量的6.3%，平均2.3人/家。科技人员中82%有IT相关从业背景，但仅在入职时参加发起行的业务培训或村镇银行自行组织的IT业务培训，基本没有参加专业的技术培训，技术能力主要依靠工作经验来弥补，科技人员无论从人员数量和技术力量上均存在一定的提升空间。

（四）其他信息化服务开展情况

村镇银行在传统的服务外，对信息化、现代化的金融科技产品需求十分迫切。近几年陆续拓展服务渠道，采取了诸如便民服务点、银行卡、网上银行、手机银行等新型金融服务措施满足客户的业务需求。目前，12家开展金融IC卡业务，每家平均布防ATM机3台。16家有网上银行（企业或个人），6家上线手机银行，4家与银联合作开展pos业务。

三、村镇银行信息化建设中存在的风险

村镇银行信息化建设能够丰富其业务产品，拓展业务渠道，增强抗风险能力和市场竞争力，也对发展普惠金融，支撑扶持县域实体经济以及推进农村区域金融逐步向数字化、信息化转型起到良好作用。但由于村镇银行起步时间不长，普遍存在规模小，人力少，资金投入有限、资源短缺、技术力量薄弱等情况，在信息化建设以及信息安全保障方面还存在不少薄弱之处，成为制约村镇银行业务发展及安全稳定运行的一大瓶颈，进而影响到区域信息安全和金融运行稳定。主要表现在以下几个方面：

（一）信息化治理机构不完善引发管理风险

大多数村镇银行未成立专门的信息化部门，对信息化工作缺乏整体战略和统筹协调，信息化投资目的不明确，信息化建设的运营绩效和社会绩效不能充分发挥。导致重复建设、信息分散、效率低下、信息系统频繁变更等问题，给银行业务系统的安全可靠运行带来隐患；部门银行日常信息化管理工作依靠单位非专业人员、非专职人员来承担，专业技术水平、风险防范意识相对较低，信息化建设和管理的精细化程度亟待提升。

（二）信息化制度体系不健全引发操作风险

村镇银行普遍存在“重业务轻技术”、“重利润轻风险”“重眼前轻长远”的现象，不能正确认识信息科技制度的底层设计和基础保障作用。制度均直接搬用或者套用发起行制度，多数制度甚至只是将发起行的科技文件更改一个名称而已，没能立足本行实际、更谈不上制度体系化以及制度的有效落地。

（三）基础设施建设标准不规范引发运行风险

机房是信息化建设的一项重要内容，全省村镇银行机房建设在具体实施并没有按照国家机房建设标准执行，其中9家采用内部自行制定的标准，13家采用发起行的标准，6家没有建设标准，机房建设相对随意、机房技术指标不达标准，存在很多潜在的风险因素，对其业务运行埋下诸多隐患。

（四）发起行的有限支持引发外部风险

由于其自身建设能力薄弱和自身科技人员专业技术水平较低，村镇银行信息化的核心技术运维高度依赖发起行。发起行与村镇银行在规模、业务种类、技术构架等方面的巨大差异性，会阻碍对村镇银行的技术支持，使村镇银行业务正常运行和扩充发展受到影响，同时，主要发起行因各种原因，在人员、技术、管理方面的支持相对薄弱，常常存在无心无力和有心无力的状况，加之村镇银行的外包风险防控意识较差，风控措施不到位，不能有效防范技术和管理上的风险。

（五）外包服务商监督管理确实引发外包风险

部分村镇银行选择了第三方服务商，为银行提供IT规划、信息系统建设运维、需求开发甚至日常科技管理等全方位服务。看似省钱省力省心，但其在数据安全、业务连续、自主发展等方面面临的风险不容忽视，道德风险隐患也更为突出。尤其是第三方服务商本身的IT基础设施、技术开发和管理能力以及提供服務的能力能否满足银行业务的连续性、保密性等要求，目前没有度量的标准，对其既没有行业标准约束，也没有监管部门监管，加之单个村镇银行本身处于弱势地位，第三方服务商的技术服务风险隐患增多，风险难度很大。

（六）应急处置能力相对薄弱引发应急风险

村镇银行对应急管理重视不够，体现在虽然成立了应急团队，但仍局限于科技层面，业务、风险管理部门参与不够，业务与科技协同不足，应急队伍作用有限；应急预案或多为照搬套用发起行应急预案，或过于简单而流于纸面，可操作性较差，有效性大打折扣；一年一次IT风险应急演练难以保障，演练效果无法评估。同时，在应急基础设施和设备物资等方面，多数村镇银行没有有效的保障和储备，如网络灾备系统、关键设备等，也没有明确的灾备计划，在突发事件发生时，业务连续性难以保障，业务中断的风险较高。

四、发展村镇银行信息化建设的建议

（一）村镇银行应持续加强信息化建设力度

1.做好信息化建设的战略规划。村镇银行在设立初期，应提前布局，做好信息化建设的顶层设计蓝图，为其信息化建设明确纲要性的目标和指导。促使其制定科学合理的信息化建设规划，以理论指导实践，避免走弯路。

2.加强信息化建设投入，完善技术体系。积极探索村镇银行信息化建设新模式，做好计算机基础设施、系统开发运维、产品研发推广等工作，建立防控信息安全风险的技术和管理体系，保障和引领业务的发展。

3.树立信息科技安全风险意识。村镇银行要尽快树立并强化信息安全风险意识。要从建立良好公司治理、提高风险管理支持可靠性、提高金融创新能力和竞争能力、维护金融体系稳定性等方面，认识加强信息科技风险管理工作的重要性，着力防范信息科技的操作风险、战略风险、法律和声誉风险。

4.借力科技创新推动业务创新。村镇银行网点少、目标客户分散、服务及产品相对简单，通过加快自助服务的发展，可以扬长避短，快速扩展业务，实现增长。不仅大大提升消费者的支付体验，还可增加用户的粘性。村镇银行应探索科技创新方式，通过ATM/POS、电话银行、网上银行、手机银行、短信银行、第三方支付、呼叫中心等渠道，为村镇银行的业务发展提供技术支撑。

（二）政府部门应出台支持政策，优化发展环境

各级政府尤其是县域政府要将设立、发展村镇银行纳入重要工作议程。建立对村镇银行的正向激励机制，完善农村金融机构风险补偿机制或贴息政策。有关部门应给予税费方面的优惠政策，使村镇银行能切实享受到免征所得税、营业税的利好政策，进一步调动其涉农贷款投放的积极性，加强支农支小力度。鼓励支持建立村镇银行协会，实现行业自律及协同发展。同时，要依法维护村镇银行合法权益，维护金融市场秩序，为村镇银行的发展提供一个良好的社会环境。

（三）监管部门应加强信息化建设的指导与服务

1.加强信息安全综合检查与综合评价。有关部门要督促村镇银行提升信息安全意识，控制信息系统风险。要建立以重大信息安全事件报告制度或辖区村镇银行联系机制，及时掌握村镇银行信息安全工作的重大事项，如信息安全组织机构、信息安全制度、科技人员情况、系统运维等变动事宜，认真进行审查分析，及时发现问题，有效防范和化解信息安全风险。

2.创新监管思路，以监管促发展。监管部门应根据村镇银行发展起点低、基础设施差、管理能力弱等实际情况，应建立相关的配套制度，增强监管的有效性和创新性，应有别于其他商业银行的监管模式，以指导帮助为理念，以促进村镇银行发展为目的，以“一行一策”为原则，加强法人机构风险监管，区分不同村镇银行的不同风险，有针对性的督促其落实法人管理体制；加强对主发起行履职监管和考核，督促发起行按照法规和章程来履行管理职责，为村镇银行提供资金、人力、管理等方面的支持。

3.建立外包服务准入机制，加强技术外包服务商的管理。对第三方服务商，从事“银行业务”的运行，应该参照银行业金融机构科技管理和信息安全的要求来进行监管，应赋予人民银行管理和指导其信息化建设和运维的权力，并由人民银行和银监会承担相应的监管职责，对其和银行业务服务有关的科技建设和管理进行日常监管。同时可以在市场化的大原则下，通过政策引导、应用示范等形式对提供IT外包服务的运营公司，建立准入管理制度，建立风险评价体系，在源头上控制村镇银行选择第三方服务商的风险。

参考文献

[1]郭肖军.村镇银行信息安全存在的问题及对策[N].金融时报，2015-01-08.

[2]李东玉..村镇银行信息化建设模式比较分析及建议[DB].村镇银行信息外包服务平台，2013-07-26.

[3]李爱国.村镇银行信息技术外包风险控制策略[DB].村镇银行信息外包服务平台，2013-07-26.

[4]于沛.村镇银行信息化发展的问题与对策[DB].村镇银行信息外包服务平台，2013-07-24.

[5]朱天星.商业银行小企业信用风险评级理论、模型及应用[M].经济科学出版社，2014.