中国银行业监督管理委员会于2007年5月下发了《商业银行操作风险管理指引（银监发［2007］42号），提出了商业银行操作风险管理的目标及要求。其中对商业银行信息系统操作风险管理给出了指导性意见，农村信用社信息化建设较国有商业银行起步较晚，信息系统风险管理经验较为欠缺，如何防范信息系统操作风险，促进农村信用社安全、持续、稳健运行，笔者认为应从以下几方面入手：

    一、建立组织，明确责任，构建信息安全管理组织及规范体系

    根据《指引》第十二条规定，操作风险管理政策应当与银行的性质、规模、复杂程度和风险特征相适应，制定适当的操作风险管理组织架构、权限和责任。农村信用社实现数据大集中后，根据信息网络系统特点，首先要建立信息安全管理的组织机构，负责有关农村信用社系统安全的决策、执行、检查、管理等工作。在省联社成立信息系统安全管理委员会，统一规划和管理信息系统安全工作；在市、县二级机构成立信息系统安全保护领导小组，负责贯彻执行农村信用社信息系统的安全策略，协调信息系统安全的实施；在各部门、各单位设立信息资产责任人、安全管理专员和安全检查员，使信息系统安全管理在组织上得到保证。同时，需要建立与之相适应的安全与管理规范体系，指导农村信用社信息系统安全工作的开展，使其符合国际、国内金融机构的有关安全标准和国家相关的法律法规；明确信息系统的安全需求和目标，制定整体信息安全建设规划，统一安全架构、安全标准、安全措施和安全监督管理。

    二、加强管理，多策并举，着力构筑“三道防线”

    根据《指引》第九条规定，信息系统管理将按照有效性、审慎性、全面性、及时性和独立性的原则开展规章制度建设，着力构筑“三道防线”，即自控防线、互控防线和监控防线。按照指引要求，农村信用社应采取多种措施构筑“三道防线”。一是在要在充分调研的基础上，制定有关信息系统设备和环境、网络通信、软件开发、操作与维护、项目工程、监督审计、密码管理、访问控制、人员管理、数据管理、数据存储和灾难备份等安全管理制度，使信息系统的每个环节、每个操作都有章可循，都烙上安全防范的印记，实现业务流程与风险管理流程的真正合一最大限度地降低运行风险，保障信息系统安全平稳运行。二是建立系统运行值班人员交流沟通制度，在每周一将上周系统的运行情况进行汇总，并将各组值班时的情况进行交流，使工作人员能够及时熟悉系统的运行情况，掌握系统的运行规律。同时也可以开发能够自动记录系统运行情况的检测软件，将系统每天的运行情况进行汇总，以利于进行分析和控制。三是加强技防能力，密切关注操作风险的事前预警和控制，综合业务网络全面上线后，要整合多种安全技术手段，如入侵检测、漏洞扫描、系统审计等进行系统运行风险分析，建立运行维护管理评价体系，第一时间掌握系统运行情况，为运维管理提供依据，保证系统安全稳定运行。

      三、制定预案，认真实施，确保业务经营活动的正常进行

    按照《指引》第十九条要求，商业银行应当制定与其业务规模和复杂性相适应的应急和业务连续方案，建立恢复服务和保证业务连续运行的备用机制。农村信用社要建立系统运行应急机制，在省联社成立应急管理小组，制定系统应急方案，内容包括各种紧急状态的启动条件、应急处理程序、后备程序、恢复措施、维护计划要求、员工意识培养和教育、人员的责任。应急方案在经过安全管理委员会认可和批准后，应明确各相关人员的责任与分工，明确应急程序，形成一致性的操作流程，并不定期进行演练，让员工充分熟悉操作步骤，以备不时之需，防患于未然。同时要制定异地灾难备份方案，严格执行，确保出现灾难和业务严重中断时业务经营活动的正常进行。

      四、加强学习，提高认识，开展操作人员自我风险评估和管理工作

    《商业银行操作风险管理指引》中对操作人员提出了具体要求，按照《指引》要求，各级农村信用社在选配计算机操作人员时，既要注重技术水平，更要坚持品行优先的原则，把好人员准入关。要开展操作人员自我风险评估工作，指导员工在自身的职责范围之内正确识别和评估潜在操作风险，主要包括内控制度的查漏补缺、工作流程的整理和规范、应急预案完善和演练等。同时加强对操作人员的管理，规范操作程序。一是加强密码管理，明确规定操作人员的权限，操作员必须在规定的权限内办理业务，用户口令及密码必须专人专用，严禁公开口令及密码；二是要建立健全操作员岗位目标责任制，对网点操作人员要明确目标任务，规范操作程序，严格落实奖惩制度。三是要严格岗位设置，严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗。四是要加强内部稽核监督检查。稽核监督应贯穿于网络操作的全过程，重点是加强对系统设计开发、内控管理制度落实、操作运行等方面的监督。

    五、深入调研，加强联系，积极为业务部门提供操作风险技术支持

    农村信用社综合业务网络系统上线后，科技部们要组织有关人员在借鉴先进金融单位的基础上，因地制宜，开展信息风险防范的调研，深入了解基层信用社的业务特点和系统运行情况，并进一步加强与业务部门的沟通与交流，为业务部门提供全面的操作风险技术支持。一是要做好业务部门人员的综合业务系统操作培训，确保他们能够熟悉和研究综合业务网络系统，制定一套适应业务流程再造后的工作办法，二是要协调和督促业务部门从自身业务角度针对综合业务系统，提出防范风险和提高工作质量的建议，便于科技部门进一步对综合业务系统的完善和风险方法管理。三是要积极配合信贷、财务等部门做好信贷和财务管理系统的业务需求和开发，规范管理行为，防范操作风险。四是要联合稽核部门，共同携手，打造一个以内控综合评价为中心，并提供业务行为实时监控、风险业务及时警示、高危行为自动拦截、警示信息审计与核销、操作风险事件和损失数据管理等技术手段的稽核管理系统，进行操作风险防范，非现场稽核，稽核工作管理，实现对各项业务进行全方位的监管，有效防范金融案件，降低金融风险，提高稽核管理水平和工作效率。