摘要:隨著信息相關(guān)技術(shù)的快速發(fā)展并融入到各個領(lǐng)域,使其之于銀行的意義,也就猶如空氣之于人類,IT的無處不在也使就被賦予更多的商業(yè)智能����。而銀行對信息技術(shù)的高度依賴,另一方面也讓銀行信息系統(tǒng)的安全性��、可靠性和有效性直接關(guān)系到整個金融體系的安全與穩(wěn)定。本文將從銀行IT技術(shù)部門的職能定位入手,結(jié)合真實(shí)案例,深入分析其在日常技術(shù)支持工作中遇到的種種問題,基于此提出我國商業(yè)銀行業(yè)IT部門如何規(guī)避信息化風(fēng)險(xiǎn)的幾點(diǎn)對策與建議,促進(jìn)商業(yè)銀行IT部門的可持續(xù)發(fā)展����。
關(guān)鍵詞:商業(yè)銀行;IT部門;風(fēng)險(xiǎn)
一���、IT部門在商業(yè)銀行中的職能定位及其基本特征
一般來說,商業(yè)銀行的IT技術(shù)部門主要是負(fù)責(zé)全行業(yè)務(wù)處理軟件的開發(fā)及綜合業(yè)務(wù)系統(tǒng)運(yùn)行維護(hù)�����。比如:根據(jù)總行的經(jīng)營規(guī)劃,負(fù)責(zé)研究、擬訂并組織實(shí)施本行電子化建設(shè)中長期發(fā)展規(guī)劃和年度規(guī)劃;負(fù)責(zé)計(jì)算機(jī)及網(wǎng)絡(luò)等設(shè)備的選型及管理;負(fù)責(zé)全行科技應(yīng)用開發(fā),制定技術(shù)開發(fā)規(guī)章制度;負(fù)責(zé)組織實(shí)施軟件開發(fā)和改良工作;負(fù)責(zé)全行計(jì)算機(jī)系統(tǒng)的建設(shè)��、指導(dǎo)和安全運(yùn)轉(zhuǎn);負(fù)責(zé)綜合業(yè)務(wù)信息的匯總���、分類分析和反饋;負(fù)責(zé)總行新產(chǎn)品開發(fā)委員會日常事務(wù)等等。其中IT技術(shù)類管理委員會負(fù)責(zé)管理IT技術(shù)人員,同時負(fù)責(zé)制定�����、解釋和修改各類專業(yè)技術(shù)職務(wù)任職標(biāo)準(zhǔn)及考核辦法。
從IT部門的職能定位中可看出信息科技在銀行業(yè)中所具有的基本特征����。首先,IT信息技術(shù)為銀行業(yè)務(wù)處理搭建了操作平臺,主要表現(xiàn)在:①網(wǎng)絡(luò)技術(shù)的發(fā)展為銀行業(yè)務(wù)拓展打破了地域限制,甚至可將觸角延伸到國外;②銀行機(jī)構(gòu)業(yè)務(wù)處理模式的變化方便了客戶,業(yè)務(wù)的辦理經(jīng)過信息系統(tǒng)提供的各類渠道實(shí)現(xiàn),比如自助設(shè)備和自助銀行的出現(xiàn);③現(xiàn)代化支付結(jié)算手段密切了各家銀行的合作共存關(guān)系,銀聯(lián)公司提供的標(biāo)準(zhǔn)和人民銀行的現(xiàn)代化支付結(jié)算系統(tǒng)都為跨行結(jié)算提供平臺;④信息科技促進(jìn)了銀行業(yè)產(chǎn)品創(chuàng)新和業(yè)務(wù)創(chuàng)新,如電話銀行、網(wǎng)上銀行�����、手機(jī)銀行、企業(yè)銀行�����、自助銀行等電子銀行業(yè)務(wù),同時基于現(xiàn)代科技的多種中間業(yè)務(wù)不但優(yōu)化了銀行的收入結(jié)構(gòu),而且在代收代付、代理基金國債����、第三方存管等業(yè)務(wù)上也突破了傳統(tǒng)存貸款業(yè)務(wù)的局限��。其次,為銀行管理信息化的實(shí)現(xiàn)提供了保障,比如:集中式信貸管理系統(tǒng)、人事管理信息系統(tǒng)�����、財(cái)務(wù)管理信息系統(tǒng),代理業(yè)務(wù)分析����、支付信息分析、銀行卡業(yè)務(wù)統(tǒng)計(jì)分析等都分別從內(nèi)部管理和業(yè)務(wù)經(jīng)營分析方面為銀行管理提供了信息平臺����。最后,其為各商業(yè)銀行的戰(zhàn)略決策提供依據(jù),一個完善的信息系統(tǒng)包括了數(shù)據(jù)采集���、數(shù)據(jù)提取�����、數(shù)據(jù)加工����、形成決策報(bào)告和對外信息披露等決策子系統(tǒng),為銀行管理層的戰(zhàn)略決策提供強(qiáng)有力的信息依據(jù)。
二���、當(dāng)前銀行業(yè)IT部門所面臨的主要風(fēng)險(xiǎn)
信息科技的不斷進(jìn)步,一方面使得銀行業(yè)信息和數(shù)據(jù)邏輯集中程度不斷得到提高,另一方面又成為銀行業(yè)穩(wěn)健運(yùn)行的一大安全隱患,其所帶來的風(fēng)險(xiǎn)主要也是來自于信息科技的軟件、硬件或是人為過失上��。1997年7月,因特網(wǎng)服務(wù)提供商因?yàn)槿粘R蛱鼐W(wǎng)路由表更新新進(jìn)程的一個錯誤,與其它的ISP失去了連接,大約45%的因特網(wǎng)用戶受到影響。2003年1月,美國銀行13000臺ATM機(jī)因病毒瞬間宕機(jī),該行客戶無法通過ATM完成存取款交易����。2006年日本最大的美資銀行花旗銀行出現(xiàn)交易系統(tǒng)故障,5天內(nèi)約27.5萬筆公用事業(yè)繳費(fèi)遭重復(fù)扣劃,或交易后未作月結(jié)記錄。2007年3月19日,中行北京分行系統(tǒng)出現(xiàn)硬件故障,除自動取款機(jī)業(yè)務(wù)未受影響外,其他各項(xiàng)業(yè)務(wù)被迫中斷。我國銀聯(lián)全國跨行交易系統(tǒng)曾經(jīng)一度癱瘓6個小時,國內(nèi)大部分商戶的POS機(jī)無法刷卡,所有銀行的終端無法進(jìn)行跨行操作,期間阻斷交易量達(dá)246.6萬筆,金額1287.7億元�。2007年上半年瑞星公司共截獲新病毒133717個,其中木馬病毒83119個,后門病毒31204個,兩者之和超過11萬,而這兩類病毒都以侵入用戶電腦,竊取個人資料、銀行賬號等信息為目的,帶有直接的經(jīng)濟(jì)利益特征�。
縱觀各種案列,我們不難發(fā)現(xiàn)IT部門所面臨的風(fēng)險(xiǎn)主要集中表現(xiàn)在:
1�、法制的不完善
我國制定的《網(wǎng)絡(luò)銀行業(yè)務(wù)管理暫行辦法》對銀行IT風(fēng)險(xiǎn)的管理問題作了規(guī)定,包括信息安全策略、物理安全����、加密���、防火墻�、業(yè)務(wù)應(yīng)急和連續(xù)性計(jì)劃���、審計(jì)����、人員培訓(xùn)、重大事項(xiàng)報(bào)告制度���、安全性評估等。而《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》的頒布,也標(biāo)志著我國將銀行信息系統(tǒng)風(fēng)險(xiǎn)正式納入風(fēng)險(xiǎn)監(jiān)管的范疇����。但與其他國家發(fā)布的法律相比,我國的法律顯得較為簡略。這一方面使得國內(nèi)銀行IT風(fēng)險(xiǎn)管理缺乏指導(dǎo)另一方面,也使現(xiàn)階段對網(wǎng)絡(luò)銀行的現(xiàn)場檢查難以進(jìn)行����。
2���、信息技術(shù)的漏洞
各大商業(yè)銀行以信息技術(shù)為基礎(chǔ)開展的各項(xiàng)銀行服務(wù)擬為客戶提供一個隨時�����、隨地、隨意的服務(wù)交易環(huán)境,但由于應(yīng)用程序在研發(fā)中考慮不周或是不夠嚴(yán)密,導(dǎo)致應(yīng)用軟件在運(yùn)行中出現(xiàn)財(cái)務(wù)錯亂�、數(shù)據(jù)信息受損等��。有的客戶在進(jìn)行網(wǎng)上交易時,數(shù)據(jù)在傳輸過程中被泄露、篡改����、偽造致使客戶信息被盜取,影響資金安全。更有甚者的假銀行網(wǎng)站��、克隆網(wǎng)站或網(wǎng)絡(luò)黑客通過截獲客戶通訊數(shù)據(jù)��、安裝木馬程序等方式套取用戶密碼和交易密碼,以轉(zhuǎn)移客戶在銀行的資金。
3��、銀行自身數(shù)據(jù)大集中所引發(fā)的風(fēng)險(xiǎn)
信息技術(shù)突破了地域限制,銀行隨著進(jìn)行了數(shù)據(jù)大集中,而數(shù)據(jù)集中后,雖然在管理上便于維護(hù)���、升級�、但系統(tǒng)的架構(gòu)由此變得更加復(fù)雜,牽扯的各方面因素也比原來大大增加,很多問題由于權(quán)限問題在分行層面無法得到解決,需要向總行數(shù)據(jù)中心反映,削弱了分行的應(yīng)急抗災(zāi)能力和應(yīng)變管理能力。同時,由于數(shù)據(jù)的大集中,一旦出現(xiàn)突發(fā)事故,將導(dǎo)致全行業(yè)務(wù)系統(tǒng)的癱瘓與停頓。
4�、IT部門定位與管理上的不足
許多銀行的IT部門近幾年一直在努力吸收支持新業(yè)務(wù)運(yùn)行所需的新技術(shù)、新人員,但如果僅僅是將新的技術(shù)�、人員組合在一起,就無法保證基礎(chǔ)設(shè)施的穩(wěn)定性和服務(wù)級別,提高銀行的核心競爭力��。①銀行IT管理的有關(guān)制度與快速發(fā)展的IT部門適應(yīng),組織管理割裂,職責(zé)不清,IT服務(wù)管理缺乏流程保障,維護(hù)人員忙于救火,缺乏主動服務(wù);②IT系統(tǒng)缺乏長期規(guī)劃,更缺乏復(fù)雜系統(tǒng)的運(yùn)維管理經(jīng)驗(yàn),關(guān)鍵人員的工作變動甚至造成技術(shù)空白;③IT部門是集運(yùn)營、管理���、監(jiān)督于一身的技術(shù)壟斷部門,一方面由于自身的專業(yè)性極強(qiáng),高級管理層和風(fēng)險(xiǎn)控制無法對其實(shí)施有效監(jiān)管,另一方面由于IT部門即當(dāng)裁判員又當(dāng)運(yùn)動員,集行政管理與技術(shù)管理于一身,無法勝任監(jiān)管職責(zé),而且容易產(chǎn)生責(zé)任推諉���、自行其事等不良風(fēng)氣與行為;④缺乏既熟悉金融業(yè)務(wù)又精通信息技術(shù)的復(fù)合型人才,與信息科技快速發(fā)展不相適應(yīng)。
三�����、規(guī)避信息化風(fēng)險(xiǎn)的建議
針對我國目前銀行IT部門所面臨的風(fēng)險(xiǎn),可調(diào)整當(dāng)前銀行業(yè)信息科技風(fēng)險(xiǎn)管理工作的重點(diǎn)內(nèi)容,以通過這幾點(diǎn)建議來規(guī)避銀行業(yè)的信息化風(fēng)險(xiǎn)���。
1、完善IT風(fēng)險(xiǎn)的立法
為防范IT風(fēng)險(xiǎn),確保銀行的正常運(yùn)作,我們應(yīng)借鑒發(fā)達(dá)國家的相關(guān)法律法規(guī),結(jié)合我們的具體情況,逐步建立和完善我國商業(yè)銀行IT風(fēng)險(xiǎn)監(jiān)管的法律體系�����?稍趪液托袠I(yè)層次如信息產(chǎn)業(yè)部頒布的立法的基礎(chǔ)上,對已有的如《銀行法》�����、《票據(jù)法》等現(xiàn)有法律中涉及IT風(fēng)險(xiǎn)的法律進(jìn)行修訂和補(bǔ)充���。同時制定與國際接軌的IT審計(jì)標(biāo)準(zhǔn),如可按照國際通用的信息技術(shù)審計(jì)標(biāo)準(zhǔn)COBIT,結(jié)合我國商業(yè)銀行業(yè)的具體實(shí)際情況,建立適合我國銀行業(yè)的信息技術(shù)標(biāo)準(zhǔn),以運(yùn)用IT審計(jì)規(guī)避商業(yè)銀行的信息化風(fēng)險(xiǎn)�����。除此之外,還應(yīng)制定相應(yīng)的IT操作指南,正確指導(dǎo)操作人員的工作,確保信息系統(tǒng)的正常運(yùn)行�����。
2�、完善信息科技技術(shù),進(jìn)一步提高信息科技在銀行IT部門的應(yīng)用
對于IT部門來說,提供的服務(wù)一般是無形的,表面上并不直接對組織的經(jīng)營情況產(chǎn)生影響,無法用實(shí)際價(jià)值來衡量其貢獻(xiàn)度,但完善信息科技技術(shù)在銀行的運(yùn)用,將對銀行業(yè)的發(fā)展帶來不可估量的前景,IT技術(shù)的健全對商業(yè)銀行來說具有不可替代的作用,也可以說是目前一個銀行發(fā)展的核心競爭力。
首先可以建立IT系統(tǒng)支持和故障維護(hù)知識庫,通過對故障解決方法的積累,在全行間實(shí)現(xiàn)共享,提高技術(shù)人員排除故障的效率和能力,其他用戶也可以參考實(shí)現(xiàn)“自助式”排除常見故障��。
其次實(shí)時監(jiān)控全行的IT基礎(chǔ)架構(gòu),出現(xiàn)異常情況時能夠按預(yù)先設(shè)置的方式及時產(chǎn)生明顯的報(bào)警信號,自動生成服務(wù)請求單,通知相關(guān)人員��。同時對故障信息進(jìn)行分類�����、過濾,準(zhǔn)確分析事故原因,降低因人為判斷失誤造成的風(fēng)險(xiǎn),提高排除故障的效率和準(zhǔn)確度��。
最后對銀行范圍內(nèi)的網(wǎng)絡(luò)連接��、運(yùn)行狀況進(jìn)行監(jiān)控和管理。包括各級分行的路由器、交換機(jī)��、網(wǎng)絡(luò)防火墻等設(shè)備的安裝情況���、系統(tǒng)連接情況���、設(shè)備運(yùn)行狀態(tài)、設(shè)備參數(shù)調(diào)整與備份等,特別應(yīng)關(guān)注與第三方等外來連接情況的監(jiān)測,如發(fā)現(xiàn)存在不安全因素應(yīng)及時報(bào)警,并采取應(yīng)急預(yù)案,以確保系統(tǒng)的安全運(yùn)行。
3、完善IT科技體系,建立風(fēng)險(xiǎn)管理信息系統(tǒng),提高風(fēng)險(xiǎn)控制能力
隨著銀行機(jī)構(gòu)的各級管理部門和管理人員對經(jīng)營管理信息化的要求越來越高,經(jīng)營管理和科學(xué)決策對管理信息系統(tǒng)的要求也越來越高。完善的信息科技體系不但能夠提升銀行機(jī)構(gòu)經(jīng)營管理水平,還能提高其風(fēng)險(xiǎn)控制能力。①強(qiáng)化以風(fēng)險(xiǎn)管理、客戶關(guān)系管理、績效考核和報(bào)表體系改革等為核心的重點(diǎn)項(xiàng)目建設(shè),為業(yè)務(wù)管理提供全面的業(yè)務(wù)信息,為客戶營銷提供技術(shù)支持,為管理層決策提供科學(xué)依據(jù)�����。②建立IT與業(yè)務(wù)部門的伙伴型關(guān)系,把支持業(yè)務(wù)發(fā)展�、金融創(chuàng)新作為IT建設(shè)及信息科技內(nèi)部控制的一個目標(biāo),擺脫IT部門被動救火隊(duì)的角色���。③通過加強(qiáng)數(shù)據(jù)標(biāo)準(zhǔn)���、信息分類編碼標(biāo)準(zhǔn)和用戶視圖標(biāo)準(zhǔn)等標(biāo)準(zhǔn)的制定,保障各類信息標(biāo)準(zhǔn)的統(tǒng)一,提升科技管理的規(guī)范化水平和效率,提升應(yīng)用系統(tǒng)質(zhì)量,確保系統(tǒng)的安全和穩(wěn)定運(yùn)行��。
4、提高風(fēng)險(xiǎn)意識,加強(qiáng)管理,加大復(fù)合型專業(yè)人才培養(yǎng)力度
信息科技部門的全體員工首先要認(rèn)真學(xué)習(xí)全面風(fēng)險(xiǎn)管理理論,樹立全面風(fēng)險(xiǎn)管理的意識��。風(fēng)險(xiǎn)意識是任何一個風(fēng)險(xiǎn)管理流程的起點(diǎn)。在風(fēng)險(xiǎn)管理中,風(fēng)險(xiǎn)管理不僅是管理層的工作,也是全體員工的責(zé)任���。①對全體員工都要進(jìn)行必要的培訓(xùn)使其具備必要的技能,來管理自己所負(fù)責(zé)的風(fēng)險(xiǎn),在員工加入公司的入門培訓(xùn)中,就應(yīng)該開始風(fēng)險(xiǎn)管理的教育�。另外還可以將薪酬與風(fēng)險(xiǎn)掛鉤,將薪酬與獎勵同公司與個人的業(yè)務(wù)和風(fēng)險(xiǎn)管理表現(xiàn)相聯(lián)系�。②挑選部分經(jīng)驗(yàn)豐富的技術(shù)骨干,對他們進(jìn)行專業(yè)信息安全管理培訓(xùn),使員工對業(yè)務(wù)信息系統(tǒng)的了解����、計(jì)算機(jī)專業(yè)業(yè)務(wù)知識和風(fēng)險(xiǎn)管理結(jié)合于一體,提高職工個人的抗風(fēng)險(xiǎn)能力���。
5�����、IT風(fēng)險(xiǎn)預(yù)警系統(tǒng)的建立
建立IT風(fēng)險(xiǎn)預(yù)警數(shù)據(jù)庫,對銀行業(yè)IT風(fēng)險(xiǎn)事故進(jìn)行科學(xué)的分類,采用數(shù)據(jù)挖掘技術(shù)對銀行的IT風(fēng)險(xiǎn)進(jìn)行監(jiān)測和預(yù)警���。建立一個包括安全策略、安全配置管理����、事態(tài)安全檢測、應(yīng)用程序��、數(shù)據(jù)庫管理��、系統(tǒng)平臺��、網(wǎng)絡(luò)通訊和物理設(shè)施等要素的一個預(yù)警指標(biāo)體系,采集和統(tǒng)計(jì)國內(nèi)外銀行甚至相關(guān)行業(yè)如商業(yè)����、財(cái)稅、會計(jì)等安全性風(fēng)險(xiǎn)的數(shù)據(jù),科學(xué)地建立我國商業(yè)銀行風(fēng)險(xiǎn)預(yù)警數(shù)據(jù)庫,確定IT指標(biāo)的預(yù)警門限值,從而建立一套IT預(yù)警系統(tǒng)����。該系統(tǒng)應(yīng)該可以通過科學(xué)的網(wǎng)絡(luò)服務(wù)審計(jì)功能能夠檢測識別大部分黑客使用的網(wǎng)上入侵手段,記錄其入侵的源地址、攻擊的類型�、攻擊的目的����、攻擊的時間等信息,一旦發(fā)現(xiàn)入侵跡象等可能面臨威脅,則及時向銀行IT管理部門發(fā)布銀行IT風(fēng)險(xiǎn)預(yù)警信息�����。
在經(jīng)濟(jì)全球化的今天,金融電子化程度的日益提高以及數(shù)據(jù)集中體系的加大,信息技術(shù)風(fēng)險(xiǎn)控制已成為銀行業(yè)金融機(jī)構(gòu)風(fēng)險(xiǎn)管理的重要內(nèi)容,銀行IT部門亦越來越不可或缺,IT部門對銀行信息系統(tǒng)科技的風(fēng)險(xiǎn)控制,加強(qiáng)了銀行業(yè)務(wù)運(yùn)營風(fēng)險(xiǎn)的防范,只有積極去迎接、應(yīng)對和解決不斷出現(xiàn)的各種風(fēng)險(xiǎn),才能在這個網(wǎng)絡(luò)經(jīng)濟(jì)時代促進(jìn)銀行業(yè)的新發(fā)展�。
參考文獻(xiàn)
[1]李翔,商業(yè)銀行IT治理初探,濟(jì)南金融,2006年第8期
[2]嚴(yán)峻,我國銀行業(yè)IT風(fēng)險(xiǎn)管理現(xiàn)狀、趨勢與對策,金融電子化,2007年第8期
[3]曹志鵬,金融危機(jī)對銀行IT建設(shè)的挑戰(zhàn),商業(yè)銀行
