商业银行IT部门信息风险的规避

《商业银行IT部门信息风险的规避》由会员分享，可在线阅读，更多相关《商业银行IT部门信息风险的规避（4页珍藏版）》请在金锄头文库上搜索。

1、商业银行部门信息风险的规避商业银行部门信息风险的规避摘要:随着信息相关技术的快速发展并融入到各个领域,使其之于银行的意义,也就犹如空气 之于人类,IT 的无处不在也使就被赋予更多的商业智能。而银行对信息技术的高度依赖,另 一方面也让银行信息系统的安全性、可靠性和有效性直接关系到整个金融体系的安全与稳 定。本文将从银行 IT 技术部门的职能定位入手,结合真实案例,深入分析其在日常技术支持 工作中遇到的种种问题,基于此提出我国商业银行业 IT 部门如何规避信息化风险的几点对 策与建议,促进商业银行 IT 部门的可持续发展。 关键词:商业银行;IT 部门;风险 一、IT 部门在商业银行中的职能定位及

2、其基本特征 一般来说,商业银行的 IT 技术部门主要是负责全行业务处理软件的开发及综合业务系 统运行维护。比如:根据总行的经营规划,负责研究、拟订并组织实施本行电子化建设中长期 发展规划和年度规划;负责计算机及网络等设备的选型及管理;负责全行科技应用开发,制定 技术开发规章制度;负责组织实施软件开发和改良工作;负责全行计算机系统的建设、指导 和安全运转;负责综合业务信息的汇总、分类分析和反馈;负责总行新产品开发委员会日常 事务等等。其中 IT 技术类管理委员会负责管理 IT 技术人员,同时负责制定、解释和修改各 类专业技术职务任职标准及考核办法。 从 IT 部门的职能定位中可看出信息科技在银行

3、业中所具有的基本特征。首先,IT 信息 技术为银行业务处理搭建了操作平台,主要表现在:网络技术的发展为银行业务拓展打破了 地域限制,甚至可将触角延伸到国外;银行机构业务处理模式的变化方便了客户,业务的办 理经过信息系统提供的各类渠道实现,比如自助设备和自助银行的出现;现代化支付结算手 段密切了各家银行的合作共存关系,银联公司提供的标准和人民银行的现代化支付结算系统 都为跨行结算提供平台;信息科技促进了银行业产品创新和业务创新,如电话银行、网上银 行、手机银行、企业银行、自助银行等电子银行业务,同时基于现代科技的多种中间业务不 但优化了银行的收入结构,而且在代收代付、代理基金国债、第三方存管等业

4、务上也突破了 传统存贷款业务的局限。其次,为银行管理信息化的实现提供了保障,比如:集中式信贷管理 系统、人事管理信息系统、财务管理信息系统,代理业务分析、支付信息分析、银行卡业务 统计分析等都分别从内部管理和业务经营分析方面为银行管理提供了信息平台。最后,其为 各商业银行的战略决策提供依据,一个完善的信息系统包括了数据采集、数据提取、数据加 工、形成决策报告和对外信息披露等决策子系统,为银行管理层的战略决策提供强有力的信 息依据。 二、当前银行业 IT 部门所面临的主要风险 信息科技的不断进步,一方面使得银行业信息和数据逻辑集中程度不断得到提高,另一方 面又成为银行业稳健运行的一大安全隐患,其

5、所带来的风险主要也是来自于信息科技的软件、 硬件或是人为过失上。1997 年 7 月,因特网服务提供商因为日常因特网路由表更新新进程的 一个错误,与其它的 ISP 失去了连接,大约 45%的因特网用户受到影响。2003 年 1 月,美国银 行 13000 台 ATM 机因病毒瞬间宕机,该行客户无法通过 ATM 完成存取款交易。2006 年日 本最大的美资银行花旗银行出现交易系统故障,5 天内约 27.5 万笔公用事业缴费遭重复扣划, 或交易后未作月结记录。2007 年 3 月 19 日,中行北京分行系统出现硬件故障,除自动取款机 业务未受影响外,其他各项业务被迫中断。我国银联全国跨行交易系统曾

6、经一度瘫痪 6 个小 时,国内大部分商户的 POS 机无法刷卡,所有银行的终端无法进行跨行操作,期间阻断交易量达 246.6 万笔,金额 1287.7 亿元。2007 年上半年瑞星公司共截获新病毒 133717 个,其中木马 病毒 83119 个,后门病毒 31204 个,两者之和超过 11 万,而这两类病毒都以侵入用户电脑,窃取 个人资料、银行账号等信息为目的,带有直接的经济利益特征。 纵观各种案列,我们不难发现 IT 部门所面临的风险主要集中表现在: 1、法制的不完善 我国制定的网络银行业务管理暂行办法对银行 IT 风险的管理问题作了规定,包括 信息安全策略、物理安全、加密、防火墙、业务应

7、急和连续性计划、审计、人员培训、重 大事项报告制度、安全性评估等。而银行业金融机构信息系统风险管理指引的颁布,也 标志着我国将银行信息系统风险正式纳入风险监管的范畴。但与其他国家发布的法律相比, 我国的法律显得较为简略。这一方面使得国内银行 IT 风险管理缺乏指导另一方面,也使现 阶段对网络银行的现场检查难以进行。 2、信息技术的漏洞 各大商业银行以信息技术为基础开展的各项银行服务拟为客户提供一个随时、随地、 随意的服务交易环境,但由于应用程序在研发中考虑不周或是不够严密,导致应用软件在运行 中出现财务错乱、数据信息受损等。有的客户在进行网上交易时,数据在传输过程中被泄露、 篡改、伪造致使客户

8、信息被盗取,影响资金安全。更有甚者的假银行网站、克隆网站或网络 黑客通过截获客户通讯数据、安装木马程序等方式套取用户密码和交易密码,以转移客户在 银行的资金。 3、银行自身数据大集中所引发的风险 信息技术突破了地域限制,银行随着进行了数据大集中,而数据集中后,虽然在管理上便 于维护、升级、但系统的架构由此变得更加复杂,牵扯的各方面因素也比原来大大增加,很多 问题由于权限问题在分行层面无法得到解决,需要向总行数据中心反映,削弱了分行的应急抗 灾能力和应变管理能力。同时,由于数据的大集中,一旦出现突发事故,将导致全行业务系统 的瘫痪与停顿。 4、IT 部门定位与管理上的不足 许多银行的 IT 部门

9、近几年一直在努力吸收支持新业务运行所需的新技术、新人员,但 如果仅仅是将新的技术、人员组合在一起,就无法保证基础设施的稳定性和服务级别,提高银 行的核心竞争力。银行 IT 管理的有关制度与快速发展的 IT 部门适应,组织管理割裂,职责 不清,IT 服务管理缺乏流程保障,维护人员忙于救火,缺乏主动服务;IT 系统缺乏长期规划, 更缺乏复杂系统的运维管理经验,关键人员的工作变动甚至造成技术空白;IT 部门是集运 营、管理、监督于一身的技术垄断部门,一方面由于自身的专业性极强,高级管理层和风险控 制无法对其实施有效监管,另一方面由于 IT 部门即当裁判员又当运动员,集行政管理与技术 管理于一身,无法

10、胜任监管职责,而且容易产生责任推诿、自行其事等不良风气与行为;缺 乏既熟悉金融业务又精通信息技术的复合型人才,与信息科技快速发展不相适应。 三、规避信息化风险的建议 针对我国目前银行 IT 部门所面临的风险,可调整当前银行业信息科技风险管理工作的 重点内容,以通过这几点建议来规避银行业的信息化风险。 1、完善 IT 风险的立法 为防范 IT 风险,确保银行的正常运作,我们应借鉴发达国家的相关法律法规,结合我们的 具体情况,逐步建立和完善我国商业银行 IT 风险监管的法律体系。可在国家和行业层次如 信息产业部颁布的立法的基础上,对已有的如银行法 、 票据法等现有法律中涉及 IT风险的法律进行修订

11、和补充。同时制定与国际接轨的 IT 审计标准,如可按照国际通用的信 息技术审计标准 COBIT,结合我国商业银行业的具体实际情况,建立适合我国银行业的信息 技术标准,以运用 IT 审计规避商业银行的信息化风险。除此之外,还应制定相应的 IT 操作指 南,正确指导操作人员的工作,确保信息系统的正常运行。 2、完善信息科技技术,进一步提高信息科技在银行 IT 部门的应用 对于 IT 部门来说,提供的服务一般是无形的,表面上并不直接对组织的经营情况产生影 响,无法用实际价值来衡量其贡献度,但完善信息科技技术在银行的运用,将对银行业的发展 带来不可估量的前景,IT 技术的健全对商业银行来说具有不可替代

12、的作用,也可以说是目前 一个银行发展的核心竞争力。 首先可以建立 IT 系统支持和故障维护知识库,通过对故障解决方法的积累,在全行间实 现共享,提高技术人员排除故障的效率和能力,其他用户也可以参考实现“自助式”排除常见故 障。 其次实时监控全行的 IT 基础架构,出现异常情况时能够按预先设置的方式及时产生明 显的报警信号,自动生成服务请求单,通知相关人员。同时对故障信息进行分类、过滤,准确 分析事故原因,降低因人为判断失误造成的风险,提高排除故障的效率和准确度。 最后对银行范围内的网络连接、运行状况进行监控和管理。包括各级分行的路由器、 交换机、网络防火墙等设备的安装情况、系统连接情况、设备运

13、行状态、设备参数调整与 备份等,特别应关注与第三方等外来连接情况的监测,如发现存在不安全因素应及时报警,并 采取应急预案,以确保系统的安全运行。 3、完善 IT 科技体系,建立风险管理信息系统,提高风险控制能力 随着银行机构的各级管理部门和管理人员对经营管理信息化的要求越来越高,经营管理 和科学决策对管理信息系统的要求也越来越高。完善的信息科技体系不但能够提升银行机 构经营管理水平,还能提高其风险控制能力。强化以风险管理、客户关系管理、绩效考核 和报表体系改革等为核心的重点项目建设,为业务管理提供全面的业务信息,为客户营销提供 技术支持,为管理层决策提供科学依据。建立 IT 与业务部门的伙伴型

14、关系,把支持业务发 展、金融创新作为 IT 建设及信息科技内部控制的一个目标,摆脱 IT 部门被动救火队的角色。 通过加强数据标准、信息分类编码标准和用户视图标准等标准的制定,保障各类信息标准 的统一,提升科技管理的规范化水平和效率,提升应用系统质量,确保系统的安全和稳定运行。4、提高风险意识,加强管理,加大复合型专业人才培养力度 信息科技部门的全体员工首先要认真学习全面风险管理理论,树立全面风险管理的意识。 风险意识是任何一个风险管理流程的起点。在风险管理中,风险管理不仅是管理层的工作,也 是全体员工的责任。对全体员工都要进行必要的培训使其具备必要的技能,来管理自己所 负责的风险,在员工加入

15、公司的入门培训中,就应该开始风险管理的教育。另外还可以将薪酬 与风险挂钩,将薪酬与奖励同公司与个人的业务和风险管理表现相联系。挑选部分经验丰 富的技术骨干,对他们进行专业信息安全管理培训,使员工对业务信息系统的了解、计算机专 业业务知识和风险管理结合于一体,提高职工个人的抗风险能力。 5、IT 风险预警系统的建立 建立 IT 风险预警数据库,对银行业 IT 风险事故进行科学的分类,采用数据挖掘技术对银 行的 IT 风险进行监测和预警。建立一个包括安全策略、安全配置管理、事态安全检测、应 用程序、数据库管理、系统平台、网络通讯和物理设施等要素的一个预警指标体系,采集和 统计国内外银行甚至相关行业

16、如商业、财税、会计等安全性风险的数据,科学地建立我国商 业银行风险预警数据库,确定 IT 指标的预警门限值,从而建立一套 IT 预警系统。该系统应该 可以通过科学的网络服务审计功能能够检测识别大部分黑客使用的网上入侵手段,记录其入侵的源地址、攻击的类型、攻击的目的、攻击的时间等信息,一旦发现入侵迹象等可能面临 威胁,则及时向银行 IT 管理部门发布银行 IT 风险预警信息。 在经济全球化的今天,金融电子化程度的日益提高以及数据集中体系的加大,信息技术风 险控制已成为银行业金融机构风险管理的重要内容,银行 IT 部门亦越来越不可或缺,IT 部门 对银行信息系统科技的风险控制,加强了银行业务运营风险的防范,只有积极去迎接、应对和 解决不断出现的各种风险,才能在这个网络经济时代促进银行业的新发展。 参考文献 1李翔,商业银行 IT 治理初探,济南金融,2006 年第 8 期 2严峻,我国银行业 IT 风险管理现状、趋势与对策,金融电子化,2007 年第 8 期 3曹志鹏,