銀行管理論文-商業(yè)銀行ＩＴ部門信息風險的規(guī)避.doc

銀行管理論文-商業(yè)銀行部門信息風險的規(guī)避摘要:隨著信息相關技術的快速發(fā)展并融入到各個領域,使其之于銀行的意義,也就猶如空氣之于人類,IT的無處不在也使就被賦予更多的商業(yè)智能。而銀行對信息技術的高度依賴,另一方面也讓銀行信息系統(tǒng)的安全性、可靠性和有效性直接關系到整個金融體系的安全與穩(wěn)定。本文將從銀行IT技術部門的職能定位入手,結(jié)合真實案例,深入分析其在日常技術支持工作中遇到的種種問題,基于此提出我國商業(yè)銀行業(yè)IT部門如何規(guī)避信息化風險的幾點對策與建議,促進商業(yè)銀行IT部門的可持續(xù)發(fā)展。關鍵詞:商業(yè)銀行；IT部門；風險一、IT部門在商業(yè)銀行中的職能定位及其基本特征一般來說,商業(yè)銀行的IT技術部門主要是負責全行業(yè)務處理軟件的開發(fā)及綜合業(yè)務系統(tǒng)運行維護。比如:根據(jù)總行的經(jīng)營規(guī)劃,負責研究、擬訂并組織實施本行電子化建設中長期發(fā)展規(guī)劃和年度規(guī)劃；負責計算機及網(wǎng)絡等設備的選型及管理；負責全行科技應用開發(fā),制定技術開發(fā)規(guī)章制度；負責組織實施軟件開發(fā)和改良工作；負責全行計算機系統(tǒng)的建設、指導和安全運轉(zhuǎn)；負責綜合業(yè)務信息的匯總、分類分析和反饋；負責總行新產(chǎn)品開發(fā)委員會日常事務等等。其中IT技術類管理委員會負責管理IT技術人員,同時負責制定、解釋和修改各類專業(yè)技術職務任職標準及考核辦法。從IT部門的職能定位中可看出信息科技在銀行業(yè)中所具有的基本特征。首先,IT信息技術為銀行業(yè)務處理搭建了操作平臺,主要表現(xiàn)在:網(wǎng)絡技術的發(fā)展為銀行業(yè)務拓展打破了地域限制,甚至可將觸角延伸到國外；銀行機構(gòu)業(yè)務處理模式的變化方便了客戶,業(yè)務的辦理經(jīng)過信息系統(tǒng)提供的各類渠道實現(xiàn),比如自助設備和自助銀行的出現(xiàn)；現(xiàn)代化支付結(jié)算手段密切了各家銀行的合作共存關系,銀聯(lián)公司提供的標準和人民銀行的現(xiàn)代化支付結(jié)算系統(tǒng)都為跨行結(jié)算提供平臺；信息科技促進了銀行業(yè)產(chǎn)品創(chuàng)新和業(yè)務創(chuàng)新,如電話銀行、網(wǎng)上銀行、手機銀行、企業(yè)銀行、自助銀行等電子銀行業(yè)務,同時基于現(xiàn)代科技的多種中間業(yè)務不但優(yōu)化了銀行的收入結(jié)構(gòu),而且在代收代付、代理基金國債、第三方存管等業(yè)務上也突破了傳統(tǒng)存貸款業(yè)務的局限。其次,為銀行管理信息化的實現(xiàn)提供了保障,比如:集中式信貸管理系統(tǒng)、人事管理信息系統(tǒng)、財務管理信息系統(tǒng),代理業(yè)務分析、支付信息分析、銀行卡業(yè)務統(tǒng)計分析等都分別從內(nèi)部管理和業(yè)務經(jīng)營分析方面為銀行管理提供了信息平臺。最后,其為各商業(yè)銀行的戰(zhàn)略決策提供依據(jù),一個完善的信息系統(tǒng)包括了數(shù)據(jù)采集、數(shù)據(jù)提取、數(shù)據(jù)加工、形成決策報告和對外信息披露等決策子系統(tǒng),為銀行管理層的戰(zhàn)略決策提供強有力的信息依據(jù)。二、當前銀行業(yè)IT部門所面臨的主要風險信息科技的不斷進步,一方面使得銀行業(yè)信息和數(shù)據(jù)邏輯集中程度不斷得到提高,另一方面又成為銀行業(yè)穩(wěn)健運行的一大安全隱患,其所帶來的風險主要也是來自于信息科技的軟件、硬件或是人為過失上。1997年7月,因特網(wǎng)服務提供商因為日常因特網(wǎng)路由表更新新進程的一個錯誤,與其它的ISP失去了連接,大約45%的因特網(wǎng)用戶受到影響。2003年1月,美國銀行13000臺ATM機因病毒瞬間宕機,該行客戶無法通過ATM完成存取款交易。2006年日本最大的美資銀行花旗銀行出現(xiàn)交易系統(tǒng)故障,5天內(nèi)約27.5萬筆公用事業(yè)繳費遭重復扣劃,或交易后未作月結(jié)記錄。2007年3月19日,中行北京分行系統(tǒng)出現(xiàn)硬件故障,除自動取款機業(yè)務未受影響外,其他各項業(yè)務被迫中斷。我國銀聯(lián)全國跨行交易系統(tǒng)曾經(jīng)一度癱瘓6個小時,國內(nèi)大部分商戶的POS機無法刷卡,所有銀行的終端無法進行跨行操作,期間阻斷交易量達246.6萬筆,金額1287.7億元。2007年上半年瑞星公司共截獲新病毒133717個,其中木馬病毒83119個,后門病毒31204個,兩者之和超過11萬,而這兩類病毒都以侵入用戶電腦,竊取個人資料、銀行賬號等信息為目的,帶有直接的經(jīng)濟利益特征?？v觀各種案列,我們不難發(fā)現(xiàn)IT部門所面臨的風險主要集中表現(xiàn)在:1、法制的不完善我國制定的網(wǎng)絡銀行業(yè)務管理暫行辦法對銀行IT風險的管理問題作了規(guī)定,包括信息安全策略、物理安全、加密、防火墻、業(yè)務應急和連續(xù)性計劃、審計、人員培訓、重大事項報告制度、安全性評估等。而銀行業(yè)金融機構(gòu)信息系統(tǒng)風險管理指引的頒布,也標志著我國將銀行信息系統(tǒng)風險正式納入風險監(jiān)管的范疇。但與其他國家發(fā)布的法律相比,我國的法律顯得較為簡略。這一方面使得國內(nèi)銀行IT風險管理缺乏指導另一方面,也使現(xiàn)階段對網(wǎng)絡銀行的現(xiàn)場檢查難以進行。2、信息技術的漏洞各大商業(yè)銀行以信息技術為基礎開展的各項銀行服務擬為客戶提供一個隨時、隨地、隨意的服務交易環(huán)境,但由于應用程序在研發(fā)中考慮不周或是不夠嚴密,導致應用軟件在運行中出現(xiàn)財務錯亂、數(shù)據(jù)信息受損等。有的客戶在進行網(wǎng)上交易時,數(shù)據(jù)在傳輸過程中被泄露、篡改、偽造致使客戶信息被盜取,影響資金安全。更有甚者的假銀行網(wǎng)站、克隆網(wǎng)站或網(wǎng)絡黑客通過截獲客戶通訊數(shù)據(jù)、安裝木馬程序等方式套取用戶密碼和交易密碼,以轉(zhuǎn)移客戶在銀行的資金。3、銀行自身數(shù)據(jù)大集中所引發(fā)的風險信息技術突破了地域限制,銀行隨著進行了數(shù)據(jù)大集中,而數(shù)據(jù)集中后,雖然在管理上便于維護、升級、但系統(tǒng)的架構(gòu)由此變得更加復雜,牽扯的各方面因素也比原來大大增加,很多問題由于權限問題在分行層面無法得到解決,需要向總行數(shù)據(jù)中心反映,削弱了分行的應急抗災能力和應變管理能力。同時,由于數(shù)據(jù)的大集中,一旦出現(xiàn)突發(fā)事故,將導致全行業(yè)務系統(tǒng)的癱瘓與停頓。4、IT部門定位與管理上的不足許多銀行的IT部門近幾年一直在努力吸收支持新業(yè)務運行所需的新技術、新人員,但如果僅僅是將新的技術、人員組合在一起,就無法保證基礎設施的穩(wěn)定性和服務級別,提高銀行的核心競爭力。銀行IT管理的有關制度與快速發(fā)展的IT部門適應,組織管理割裂,職責不清,IT服務管理缺乏流程保障,維護人員忙于救火,缺乏主動服務；IT系統(tǒng)缺乏長期規(guī)劃,更缺乏復雜系統(tǒng)的運維管理經(jīng)驗,關鍵人員的工作變動甚至造成技術空白；IT部門是集運營、管理、監(jiān)督于一身的技術壟斷部門,一方面由于自身的專業(yè)性極強,高級管理層和風險控制無法對其實施有效監(jiān)管,另一方面由于IT部門即當裁判員又當運動員,集行政管理與技術管理于一身,無法勝任監(jiān)管職責,而且容易產(chǎn)生責任推諉、自行其事等不良風氣與行為；缺乏既熟悉金融業(yè)務又精通信息技術的復合型人才,與信息科技快速發(fā)展不相適應。三、規(guī)避信息化風險的建議針對我國目前銀行IT部門所面臨的風險,可調(diào)整當前銀行業(yè)信息科技風險管理工作的重點內(nèi)容,以通過這幾點建議來規(guī)避銀行業(yè)的信息化風險。1、完善IT風險的立法為防范IT風險,確保銀行的正常運作,我們應借鑒發(fā)達國家的相關法律法規(guī),結(jié)合我們的具體情況,逐步建立和完善我國商業(yè)銀行IT風險監(jiān)管的法律體系。可在國家和行業(yè)層次如信息產(chǎn)業(yè)部頒布的立法的基礎上,對已有的如銀行法、票據(jù)法等現(xiàn)有法律中涉及IT風險的法律進行修訂和補充。同時制定與國際接軌的IT審計標準,如可按照國際通用的信息技術審計標準COBIT,結(jié)合我國商業(yè)銀行業(yè)的具體實際情況,建立適合我國銀行業(yè)的信息技術標準,以運用IT審計規(guī)避商業(yè)銀行的信息化風險。除此之外,還應制定相應的IT操作指南,正確指導操作人員的工作,確保信息系統(tǒng)的正常運行。2、完善信息科技技術,進一步提高信息科技在銀行IT部門的應用對于IT部門來說,提供的服務一般是無形的,表面上并不直接對組織的經(jīng)營情況產(chǎn)生影響,無法用實際價值來衡量其貢獻度,但完善信息科技技術在銀行的運用,將對銀行業(yè)的發(fā)展帶來不可估量的前景,IT技術的健全對商業(yè)銀行來說具有不可替代的作用,也可以說是目前一個銀行發(fā)展的核心競爭力。首先可以建立IT系統(tǒng)支持和故障維護知識庫,通過對故障解決方法的積累,在全行間實現(xiàn)共享,提高技術人員排除故障的效率和能力,其他用戶也可以參考實現(xiàn)“自助式”排除常見故障。其次實時監(jiān)控全行的IT基礎架構(gòu),出現(xiàn)異常情況時能夠按預先設置的方式及時產(chǎn)生明顯的報警信號,自動生成服務請求單,通知相關人員。同時對故障信息進行分類、過濾,準確分析事故原因,降低因人為判斷失誤造成的風險,提高排除故障的效率和準確度。最后對銀行范圍內(nèi)的網(wǎng)絡連接、運行狀況進行監(jiān)控和管理。包括各級分行的路由器、交換機、網(wǎng)絡防火墻等設備的安裝情況、系統(tǒng)連接情況、設備運行狀態(tài)、設備參數(shù)調(diào)整與備份等,特別應關注與第三方等外來連接情況的監(jiān)測,如發(fā)現(xiàn)存在不安全因素應及時報警,并采取應急預案,以確保系統(tǒng)的安全運行。3、完善IT科技體系,建立風險管理信息系統(tǒng),提高風險控制能力隨著銀行機構(gòu)的各級管理部門和管理人員對經(jīng)營管理信息化的要求越來越高,經(jīng)營管理和科學決策對管理信息系統(tǒng)的要求也越來越高。完善的信息科技體系不但能夠提升銀行機構(gòu)經(jīng)營管理水平,還能提高其風險控制能力。強化以風險管理、客戶關系管理、績效考核和報表體系改革等為核心的重點項目建設,為業(yè)務管理提供全面的業(yè)務信息,為客戶營銷提供技術支持,為管理層決策提供科學依據(jù)。建立IT與業(yè)務部門的伙伴型關系,把支持業(yè)務發(fā)展、金融創(chuàng)新作為IT建設及信息科技內(nèi)部控制的一個目標,擺脫IT部門被動救火隊的角色。通過加強數(shù)據(jù)標準、信息分類編碼標準和用戶視圖標準等標準的制定,保障各類信息標準的統(tǒng)一,提升科技管理的規(guī)范化水平和效率,提升應用系統(tǒng)質(zhì)量,確保系統(tǒng)的安全和穩(wěn)定運行。4、提高風險意識,加強管理,加大復合型專業(yè)人才培養(yǎng)力度信息科技部門的全體員工首先要認真學習全面風險管理理論,樹立全面風險管理的意識。風險意識是任何一個風險管理流程的起點。在風險管理中,風險管理不僅是管理層的工作,也是全體員工的責任。對全體員工都要進行必要的培訓使其具備必要的技能,來管理自己所負責的風險,在員工加入公司的入門培訓中,就應該開始風險管理的教育。另外還可以將薪酬與風險掛鉤,將薪酬與獎勵同公司與個人的業(yè)務和風險管理表現(xiàn)相聯(lián)系。挑選部分經(jīng)驗豐富的技術骨干,對他們進行專業(yè)信息安全管理培訓,使員工對業(yè)務信息系統(tǒng)的了解、計算機專業(yè)業(yè)務知識和風險管理結(jié)合于一體,提高職工個人的抗風險能力。5、IT風險預警系統(tǒng)的建立建立IT風險預警數(shù)據(jù)庫,對銀行業(yè)IT風險事故進行科學的分類,采用數(shù)據(jù)挖掘技術對銀行的IT風險進行監(jiān)測和預警。建立一個包括安全策略、安全配置管理、事態(tài)安全檢測、應用程序、數(shù)據(jù)庫管理、系統(tǒng)平臺、網(wǎng)絡通訊和物理設施等要素的一個預警指標體系,采集和統(tǒng)計國內(nèi)外銀行甚至相關行業(yè)如商業(yè)、財稅、會計等安全性風險的數(shù)據(jù),科學地建立我國商業(yè)銀行風險預警數(shù)據(jù)庫,確定IT指標的預警門限值,從而建立一套IT預警系統(tǒng)。該系統(tǒng)應該可以通過科學的網(wǎng)絡服務審計功能能夠檢測識別大部分黑客使用的網(wǎng)上入侵手段,記錄其入侵的源地址、攻擊的類型、攻擊的目的、攻擊的時間等信息,一旦發(fā)現(xiàn)入侵跡象等可能面臨威脅,則及時向銀行IT管理部門發(fā)布銀行IT風險預警信息。在經(jīng)濟全球化的今天,金融電子化