论文部分内容阅读
摘要:存在于银行金融机构的主要信息科技风险,包括缺乏有效的信息科技风险管理战略、信息科技治理结构还不够完善、高级管理层重视不够、信息安全管理工作更多强调技术层面以及合规风险等,是值得我们进一步持续关注和探索的课题。
关键词:农村商业银行;信息科技管理;管理风险
【中图分类号】F208
1.引言
金融创新步伐加快,信息技术迅猛发展,银行业金融机构的信息科技风险逐步增大,银行业以及监管当局日益重视信息科技风险的管理和监管。总体来说,我国的银行、金融机构都制定了业务发展战略,但缺乏与业务发展战略相一致的信息科技发展战略,也缺乏信息科技风险战略,以指导信息科技风险管控工作。当下,银行、金融机构内部大多数部门都认为信息科技工作是信息科技部门的事情,同样信息科技风险管理也只是信息科技部门的责任,导致了信息科技治理结构不够完善,信息科技风险管理缺乏业务、风险管理、内部审计部门的有效支持。高级管理层在“口头上”都很重视,但高级管理层很少履行切实的承诺,在资金上给与足够的支持。目前,更多金融机构注重从技术层面加强边界保护,而很少从流程、技术、人员三个不可分离的层面从事信息安全管理工作。由于当前在信息科技风险管控方面不能够满足外部监管机构的要求,从而给金融机构带来合规风险。
2.农村商业银行信息科技风险特点及问题表现
我国农村商业银行的发展历程较短,而且受制于规模和财务能力限制,其信息科技建设往往跟不上业务的快速发展。其信息科技风险特点和表现形式往往不同于国际活跃银行和国内大中型商业银行。
2.1信息基础设施建设严重滞后于业务快速增长
按照国际惯例,商业银行核心业务系统主机容量使用率如果超过60%的话,就需要扩大系统容量,而国内很多农村商业银行都超过这个指标。例如某商业银行发生的柜台交易缓慢,业务持续一个多小时无法正常进行,仅仅就因为主干网线的入户接入设备发生故障。
2.2大多没有明晰的信息科技风险管理架构
(1)很少设置专门的信息科技风险管理机构。一般都是由科技信息部门负责信息科技风险的管理和处置,既负责信息系统和项目的开发维护,同时也负责科技风险管理,没有对此进行独立评价的部门和人员。信息科技风险归口科技信息部门,风险管理部门介入很少。(2)由于财力和人力的限制,一般都根据自身能力落实信息科技风险管理,没有设立独立的信息科技风险机构和人员,没有建立完善的信息科技风险事故报告、监测和应急机制。
2.3信息科技风险专业人员缺乏且配备不足
(1)信息科技风险是金融业务与信息技术结合的产物,专业人员需具备综合能力,既要熟悉银行基本业务,也要熟悉信息系统架构和技术。一方面专业人员缺乏,另一方面,各银行之间对于高层次人才的争夺也十分激烈。在科技人才的竞争中处于不利地位。(2)国内商业银行科技人员配置比例一般是2%~2.5%,而大型银行的人员配置比例更高。而农村商业银行的科技人员配备上远远低于国内银行平均水平。这在业务快速发展的农村商业银行非常普遍,还不同程度地存在着重业务发展,轻风险管理的现象。
2.4信息科技服务外包管理有待完善和规范
由于受到规模和技术力量的限制,信息系统开发一般都是外包给技术厂商,特别是有些系统的维保等也是外包给厂商的。但是平时应用较多的应用系统,如核心业务系统、信贷业务系统和网上银行等,均需要在厂商成熟产品的基础上,再进行个性化的开发或者优化,专业化程度高,银行自身科技人员难以满足开发的要求,外包存在一定风险,需要规范科技信息外包管理。此外,服务外包合同条款,外包商的服务水平评估,外包风险的应急措施及防范,以及外包管理的审核、管理机制等均有待完善。
3.农村商业银行信息科技风险管理的对策建议
3.1尽快树立并强化信息科技安全风险意识
农村商业银行必须意识到,银行业对信息科技高度依赖,信息技术系统的安全性、可靠性和有效性直接关系到银行业的安全和金融体系的稳定。不仅各级领导,信息科技条线的员工,而且全行各条线员工都应该树立和强化信息科技风险意识,防范信息科技风险。同时,要明确信息科技安全第一责任人的意识,董事会、监事会和高级管理层必须对整个信息科技风险负责,制定并指导全行执行信息科技风险管理政策,有责任建立覆盖全系统,自上而下的,由信息科技部门、风险管理部门、内部审计部门等相关部门共同参与的信息科技风险管理体系。
3.2建立科学合理的信息科技风险管理战略发展规划
应找准自身市场定位,结合业务特征,根据信息化发展趋势,以及监管部门的合规要求,制定科学合理的信息科技专项规划,在总体规划的基础上,逐步开展信息化建设,避免重复建设和信息孤岛产生,加强信息科技风险管理的系统性和有序性。在规划的基础上,应重视制定和完善各类有效的信息科技管理制度,优化信息科技风险管理流程,提高制度约束的执行力水平,不断完善信息安全管理机制。尤其是要加强信息科技服务外包和项目系统建设外包的规范化管理,要突出防范由外包可能带来的信息科技风险。
3.3强化各相关部门联动协作,建立完善信息科技风险管理体系
主要是建设好三道防线:由策略保障体系、组织保障体系和技术保障体系构成的完备的信息科技风险管理体制和基础安全控制设施,形成信息科技风险事前防范的第一道防线;由运营保障体系构成事中控制的第二道防线;由应用恢复保障系统与内外部审计部门构成事后控制的第三道防线。此外,还应建立和完善信息科技风险监测、识别、报告、预警和处置的相关程序和制度。完善信息科技风险应急处置预案,并定期进行应急处置演练。
3.4加大对信息科技基础设施的建设投入和人才的引进培养
(1)重视和加大资金投入。在信息科技系统不能满足业务发展需求时,应适当放慢业务扩张的进度,保障业务发展规模和风险管控能力的协调一致。尤其是,城商行异地经营,跨区发展的时候,更会对总行的信息科技系统支持、信息科技風险管理水平和能力提出更高的要求。(2)加强信息科技风险管理队伍建设。信息科技风险管理水平的提高不仅要靠加大基础设施投入,更应该依靠信息科技风险管理专业人员水平和综合素质的提高。只有在加强自身人才队伍培养的基础上,充分借鉴和借用外在力量,才能保障和提升城商行自身的信息科技风险管理能力和水平,保障信息科技安全。
4.结语
今后,银行、金融机构在信息科技风险管理上,应结合自身业务发展战略,在对信息科技风险评估的基础上,借鉴先进金融机构的良好做法和国际标准基础上,制定出与业务发展目标保持一致的信息科技风险管理战略。加强信息科技风险治理结构建设,设计出包括高级管理层、业务部门、信息科技部门、风险管理部门、审计和合规部门在内的信息科技风险治理架构,以满足信息科技风险管理对治理结构的要求。建议,从业务需求出发,从人员、技术和流程三个角度加强信息科技风险管控程序建设,逐步提高信息科技风险管控能力,满足外部监管要求。还要持续地加强高级管理层、管理层以及一般人员,并包括合作伙伴等人员的信息安全意识教育和培训吗,只有这样才能持久显效、发挥实效。
参考文献
1、史定女,付彬。信息科技风险管理的几点建议[J],华南金融电脑,2010年06期
2、张晔明。关于城商行信息科技风险管理的思考[J],银行家,2011年05期
关键词:农村商业银行;信息科技管理;管理风险
【中图分类号】F208
1.引言
金融创新步伐加快,信息技术迅猛发展,银行业金融机构的信息科技风险逐步增大,银行业以及监管当局日益重视信息科技风险的管理和监管。总体来说,我国的银行、金融机构都制定了业务发展战略,但缺乏与业务发展战略相一致的信息科技发展战略,也缺乏信息科技风险战略,以指导信息科技风险管控工作。当下,银行、金融机构内部大多数部门都认为信息科技工作是信息科技部门的事情,同样信息科技风险管理也只是信息科技部门的责任,导致了信息科技治理结构不够完善,信息科技风险管理缺乏业务、风险管理、内部审计部门的有效支持。高级管理层在“口头上”都很重视,但高级管理层很少履行切实的承诺,在资金上给与足够的支持。目前,更多金融机构注重从技术层面加强边界保护,而很少从流程、技术、人员三个不可分离的层面从事信息安全管理工作。由于当前在信息科技风险管控方面不能够满足外部监管机构的要求,从而给金融机构带来合规风险。
2.农村商业银行信息科技风险特点及问题表现
我国农村商业银行的发展历程较短,而且受制于规模和财务能力限制,其信息科技建设往往跟不上业务的快速发展。其信息科技风险特点和表现形式往往不同于国际活跃银行和国内大中型商业银行。
2.1信息基础设施建设严重滞后于业务快速增长
按照国际惯例,商业银行核心业务系统主机容量使用率如果超过60%的话,就需要扩大系统容量,而国内很多农村商业银行都超过这个指标。例如某商业银行发生的柜台交易缓慢,业务持续一个多小时无法正常进行,仅仅就因为主干网线的入户接入设备发生故障。
2.2大多没有明晰的信息科技风险管理架构
(1)很少设置专门的信息科技风险管理机构。一般都是由科技信息部门负责信息科技风险的管理和处置,既负责信息系统和项目的开发维护,同时也负责科技风险管理,没有对此进行独立评价的部门和人员。信息科技风险归口科技信息部门,风险管理部门介入很少。(2)由于财力和人力的限制,一般都根据自身能力落实信息科技风险管理,没有设立独立的信息科技风险机构和人员,没有建立完善的信息科技风险事故报告、监测和应急机制。
2.3信息科技风险专业人员缺乏且配备不足
(1)信息科技风险是金融业务与信息技术结合的产物,专业人员需具备综合能力,既要熟悉银行基本业务,也要熟悉信息系统架构和技术。一方面专业人员缺乏,另一方面,各银行之间对于高层次人才的争夺也十分激烈。在科技人才的竞争中处于不利地位。(2)国内商业银行科技人员配置比例一般是2%~2.5%,而大型银行的人员配置比例更高。而农村商业银行的科技人员配备上远远低于国内银行平均水平。这在业务快速发展的农村商业银行非常普遍,还不同程度地存在着重业务发展,轻风险管理的现象。
2.4信息科技服务外包管理有待完善和规范
由于受到规模和技术力量的限制,信息系统开发一般都是外包给技术厂商,特别是有些系统的维保等也是外包给厂商的。但是平时应用较多的应用系统,如核心业务系统、信贷业务系统和网上银行等,均需要在厂商成熟产品的基础上,再进行个性化的开发或者优化,专业化程度高,银行自身科技人员难以满足开发的要求,外包存在一定风险,需要规范科技信息外包管理。此外,服务外包合同条款,外包商的服务水平评估,外包风险的应急措施及防范,以及外包管理的审核、管理机制等均有待完善。
3.农村商业银行信息科技风险管理的对策建议
3.1尽快树立并强化信息科技安全风险意识
农村商业银行必须意识到,银行业对信息科技高度依赖,信息技术系统的安全性、可靠性和有效性直接关系到银行业的安全和金融体系的稳定。不仅各级领导,信息科技条线的员工,而且全行各条线员工都应该树立和强化信息科技风险意识,防范信息科技风险。同时,要明确信息科技安全第一责任人的意识,董事会、监事会和高级管理层必须对整个信息科技风险负责,制定并指导全行执行信息科技风险管理政策,有责任建立覆盖全系统,自上而下的,由信息科技部门、风险管理部门、内部审计部门等相关部门共同参与的信息科技风险管理体系。
3.2建立科学合理的信息科技风险管理战略发展规划
应找准自身市场定位,结合业务特征,根据信息化发展趋势,以及监管部门的合规要求,制定科学合理的信息科技专项规划,在总体规划的基础上,逐步开展信息化建设,避免重复建设和信息孤岛产生,加强信息科技风险管理的系统性和有序性。在规划的基础上,应重视制定和完善各类有效的信息科技管理制度,优化信息科技风险管理流程,提高制度约束的执行力水平,不断完善信息安全管理机制。尤其是要加强信息科技服务外包和项目系统建设外包的规范化管理,要突出防范由外包可能带来的信息科技风险。
3.3强化各相关部门联动协作,建立完善信息科技风险管理体系
主要是建设好三道防线:由策略保障体系、组织保障体系和技术保障体系构成的完备的信息科技风险管理体制和基础安全控制设施,形成信息科技风险事前防范的第一道防线;由运营保障体系构成事中控制的第二道防线;由应用恢复保障系统与内外部审计部门构成事后控制的第三道防线。此外,还应建立和完善信息科技风险监测、识别、报告、预警和处置的相关程序和制度。完善信息科技风险应急处置预案,并定期进行应急处置演练。
3.4加大对信息科技基础设施的建设投入和人才的引进培养
(1)重视和加大资金投入。在信息科技系统不能满足业务发展需求时,应适当放慢业务扩张的进度,保障业务发展规模和风险管控能力的协调一致。尤其是,城商行异地经营,跨区发展的时候,更会对总行的信息科技系统支持、信息科技風险管理水平和能力提出更高的要求。(2)加强信息科技风险管理队伍建设。信息科技风险管理水平的提高不仅要靠加大基础设施投入,更应该依靠信息科技风险管理专业人员水平和综合素质的提高。只有在加强自身人才队伍培养的基础上,充分借鉴和借用外在力量,才能保障和提升城商行自身的信息科技风险管理能力和水平,保障信息科技安全。
4.结语
今后,银行、金融机构在信息科技风险管理上,应结合自身业务发展战略,在对信息科技风险评估的基础上,借鉴先进金融机构的良好做法和国际标准基础上,制定出与业务发展目标保持一致的信息科技风险管理战略。加强信息科技风险治理结构建设,设计出包括高级管理层、业务部门、信息科技部门、风险管理部门、审计和合规部门在内的信息科技风险治理架构,以满足信息科技风险管理对治理结构的要求。建议,从业务需求出发,从人员、技术和流程三个角度加强信息科技风险管控程序建设,逐步提高信息科技风险管控能力,满足外部监管要求。还要持续地加强高级管理层、管理层以及一般人员,并包括合作伙伴等人员的信息安全意识教育和培训吗,只有这样才能持久显效、发挥实效。
参考文献
1、史定女,付彬。信息科技风险管理的几点建议[J],华南金融电脑,2010年06期
2、张晔明。关于城商行信息科技风险管理的思考[J],银行家,2011年05期