關(guān)于城商行信息科技風(fēng)險(xiǎn)管理的思考

　　金融創(chuàng)新步伐加快，信息技術(shù)迅猛發(fā)展，銀行業(yè)金融機(jī)構(gòu)的信息科技風(fēng)險(xiǎn)逐步增大，銀行業(yè)以及監(jiān)管當(dāng)局日益重視信息科技風(fēng)險(xiǎn)的管理和監(jiān)管。巴塞爾新資本協(xié)議明確地將操作風(fēng)險(xiǎn)納入資本監(jiān)管的范疇，而信息科技風(fēng)險(xiǎn)是操作風(fēng)險(xiǎn)的重要組成部分。為加強(qiáng)我國(guó)商業(yè)銀行信息科技風(fēng)險(xiǎn)管理，中國(guó)銀監(jiān)會(huì)2009年正式發(fā)布了《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》，適用于境內(nèi)依法設(shè)立的法人商業(yè)銀行，其他銀行業(yè)金融機(jī)構(gòu)參照?qǐng)?zhí)行。
　　盡管近年來(lái)城商行資產(chǎn)規(guī)模快速擴(kuò)張，跨區(qū)域經(jīng)營(yíng)，獲得了突飛猛進(jìn)的發(fā)展，風(fēng)險(xiǎn)管理理念和信息技術(shù)水平得到了有力提升，資產(chǎn)質(zhì)量得到了有效改善。但由于脫胎于城市信用社，受制于總體規(guī)模較小，地域性強(qiáng)，創(chuàng)新不足，信息技術(shù)落后等因素，整體上風(fēng)險(xiǎn)管理水平和能力相對(duì)于大型銀行和全國(guó)股份制銀行依然偏弱。尤其是對(duì)于信息科技風(fēng)險(xiǎn)管理的重視程度有待進(jìn)一步提高，信息科技風(fēng)險(xiǎn)管理的方式方法有待進(jìn)一步改進(jìn)，信息科技風(fēng)險(xiǎn)管理的體制機(jī)制有待進(jìn)一步完善。
　　
　　城商行信息科技風(fēng)險(xiǎn)特點(diǎn)和表現(xiàn)形式
　　
　　城商行發(fā)展歷程不長(zhǎng)，正處于快速擴(kuò)張階段，而且受制于規(guī)模和財(cái)務(wù)能力限制，其信息科技建設(shè)往往跟不上業(yè)務(wù)的快速發(fā)展。其信息科技風(fēng)險(xiǎn)特點(diǎn)和表現(xiàn)形式往往不同于國(guó)際活躍銀行和國(guó)內(nèi)大中型商業(yè)銀行。
　　
　　信息基礎(chǔ)設(shè)施建設(shè)嚴(yán)重滯后于業(yè)務(wù)快速增長(zhǎng)。按照國(guó)際慣例，商業(yè)銀行核心業(yè)務(wù)系統(tǒng)主機(jī)容量使用率如果超過(guò)60％的話，就需要擴(kuò)大系統(tǒng)容量，而國(guó)內(nèi)很多城市商業(yè)銀行都超過(guò)這個(gè)指標(biāo)。更為明顯的是，某城市商業(yè)銀行2008年發(fā)生的柜臺(tái)交易緩慢，業(yè)務(wù)持續(xù)一個(gè)多小時(shí)無(wú)法正常進(jìn)行，僅僅就因?yàn)橹鞲删W(wǎng)線的入戶接入設(shè)備發(fā)生故障。
　　
　　城商行大多沒(méi)有明晰的信息科技風(fēng)險(xiǎn)管理架構(gòu)。首先，很少有城商行設(shè)置專門(mén)的信息科技風(fēng)險(xiǎn)管理機(jī)構(gòu)。一般都是由科技信息部門(mén)負(fù)責(zé)信息科技風(fēng)險(xiǎn)的管理和處置，既負(fù)責(zé)信息系統(tǒng)和項(xiàng)目的開(kāi)發(fā)維護(hù)，同時(shí)也負(fù)責(zé)科技風(fēng)險(xiǎn)管理，沒(méi)有對(duì)此進(jìn)行獨(dú)立評(píng)價(jià)的部門(mén)和人員。信息科技風(fēng)險(xiǎn)歸口科技信息部門(mén)，風(fēng)險(xiǎn)管理部門(mén)介入很少。其次，由于財(cái)力和人力的限制，城商行一般都根據(jù)自身能力落實(shí)信息科技風(fēng)險(xiǎn)管理，沒(méi)有設(shè)立獨(dú)立的信息科技風(fēng)險(xiǎn)機(jī)構(gòu)和人員，沒(méi)有建立完善的信息科技風(fēng)險(xiǎn)事故報(bào)告、監(jiān)測(cè)和應(yīng)急機(jī)制。
　　
　　城商行信息科技風(fēng)險(xiǎn)專業(yè)人員缺乏，而且配備不足。首先，信息科技風(fēng)險(xiǎn)是金融業(yè)務(wù)與信息技術(shù)結(jié)合的產(chǎn)物，專業(yè)人員需具備綜合能力，既要熟悉銀行基本業(yè)務(wù)，也要熟悉信息系統(tǒng)架構(gòu)和技術(shù)。城商行一方面專業(yè)人員缺乏，另一方面，各銀行之間對(duì)于高層次人才的爭(zhēng)奪也十分激烈。城商行在科技人才的競(jìng)爭(zhēng)中處于不利地位。其次，城商行科技人員配備不足。國(guó)內(nèi)商業(yè)銀行科技人員配置比例一般是2％～2.5％，而大型銀行的人員配置比例更高。據(jù)報(bào)道，國(guó)內(nèi)某城商行如果按照2.5%的人員配置的話，應(yīng)該至少需要科技人員200人，而該城商行全轄只有45個(gè)專業(yè)科技人員，遠(yuǎn)遠(yuǎn)低于國(guó)內(nèi)銀行平均水平。這在業(yè)務(wù)快速發(fā)展的城商行界非常普遍，因?yàn)槌巧绦羞€是不同程度地存在著重業(yè)務(wù)發(fā)展，輕風(fēng)險(xiǎn)管理的現(xiàn)象。
　　
　　城商行信息科技服務(wù)外包管理有待完善和規(guī)范。由于受到規(guī)模和技術(shù)力量的限制，城商行的信息系統(tǒng)開(kāi)發(fā)一般都是外包給技術(shù)廠商，特別是有些系統(tǒng)的維保等也是外包給廠商的。但是城商行平時(shí)應(yīng)用較多的應(yīng)用系統(tǒng)，如核心業(yè)務(wù)系統(tǒng)、信貸業(yè)務(wù)系統(tǒng)和網(wǎng)上銀行等，均需要在廠商成熟產(chǎn)品的基礎(chǔ)上，再進(jìn)行個(gè)性化的開(kāi)發(fā)或者優(yōu)化，專業(yè)化程度高，城商行自身科技人員難以滿足開(kāi)發(fā)的要求，外包存在一定風(fēng)險(xiǎn)，需要規(guī)范科技信息外包管理。此外，服務(wù)外包合同條款，外包商的服務(wù)水平評(píng)估，外包風(fēng)險(xiǎn)的應(yīng)急措施及防范，以及外包管理的審核、管理機(jī)制等均有待完善。
　　
　　城商行信息科技風(fēng)險(xiǎn)管理的經(jīng)驗(yàn)介紹
　　
　　隨著國(guó)內(nèi)城商行的快速發(fā)展，信息科技風(fēng)險(xiǎn)管理越來(lái)越得到城商行的高度重視。一些優(yōu)秀的國(guó)內(nèi)城商行在信息科技風(fēng)險(xiǎn)管理方面也取得了驕人的成績(jī)，歸納以來(lái)，主要有以下四點(diǎn)。
　　
　　城商行的“兩會(huì)一層”等高級(jí)管理層要高度重視信息科技風(fēng)險(xiǎn)管理工作。在信息技術(shù)高速發(fā)展的時(shí)代，銀行開(kāi)展任何業(yè)務(wù)、風(fēng)險(xiǎn)管控和管理創(chuàng)新都離不開(kāi)信息科技，而信息科技的廣泛應(yīng)用，必然會(huì)帶來(lái)信息科技風(fēng)險(xiǎn)。而信息科技風(fēng)險(xiǎn)的產(chǎn)生不但會(huì)影響正常業(yè)務(wù)，產(chǎn)生直接損失，而且會(huì)產(chǎn)生聲譽(yù)風(fēng)險(xiǎn)。重視信息科技風(fēng)險(xiǎn)管理不光是思想上，或者是口頭上，更要落到實(shí)處，即是在人力、物力和財(cái)力上予以保證。
　　
　　順應(yīng)監(jiān)管要求。建立完善的信息科技風(fēng)險(xiǎn)治理架構(gòu)。明確信息科技風(fēng)險(xiǎn)管理的主責(zé)任人，
　　“兩會(huì)一層”以及首席信息官的相關(guān)職責(zé)，設(shè)立或指定一個(gè)特定部門(mén)負(fù)責(zé)信息科技風(fēng)險(xiǎn)管理工作，直接向首席信息官報(bào)告工作，明確風(fēng)險(xiǎn)管理部門(mén)、信息科技部門(mén)以及內(nèi)部審計(jì)等相關(guān)部門(mén)在信息科技風(fēng)險(xiǎn)管理中承擔(dān)不同的角色和職責(zé)，構(gòu)建既相互協(xié)作，又獨(dú)立開(kāi)展工作的信息科技風(fēng)險(xiǎn)管理架構(gòu)。
　　
　　借助外在力量加強(qiáng)信息科技風(fēng)險(xiǎn)管理。城商行由于缺乏專業(yè)人才，難以對(duì)自身信息科技風(fēng)險(xiǎn)作出準(zhǔn)確、科學(xué)的識(shí)別，更難以做出根本性的改善。應(yīng)委托具備相應(yīng)資質(zhì)的外部審計(jì)機(jī)構(gòu)定期進(jìn)行信息科技風(fēng)險(xiǎn)外部審計(jì)，并及時(shí)根據(jù)外部審計(jì)機(jī)構(gòu)的建議，對(duì)相關(guān)風(fēng)險(xiǎn)問(wèn)題和風(fēng)險(xiǎn)點(diǎn)進(jìn)行整改。按照《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》，外部審計(jì)也是信息科技風(fēng)險(xiǎn)管理的事后控制，即第三道防線的重要組成部分。外部審計(jì)在城商行風(fēng)險(xiǎn)事前防范和事后控制上發(fā)揮著重要作用，比如前期媒體披露發(fā)生“特大偽造金融票證”案的某城商行，在之前的外部審計(jì)中，就被審計(jì)機(jī)構(gòu)出具了存在騙貸風(fēng)險(xiǎn)的保留意見(jiàn)。
　　系統(tǒng)項(xiàng)目建設(shè)和信息科技服務(wù)的外包，也是充分借助外在力量的體現(xiàn)。但是，銀監(jiān)會(huì)信息科技風(fēng)險(xiǎn)管理指引明確要求，商業(yè)銀行不得將其信息科技管理責(zé)任外包，即應(yīng)合理審慎監(jiān)督外包職能履行，應(yīng)從外包方選擇、外包談判、協(xié)議簽訂、外包過(guò)程中的信息安全等方面提出明確要求。從城商行來(lái)講，就是要完善外包管理辦法，從外包服務(wù)職責(zé)、內(nèi)容、資料移交、年度考核、驗(yàn)收、風(fēng)險(xiǎn)管控等環(huán)節(jié)制定外包制度和辦法。此外，還應(yīng)探索服務(wù)外包方式，購(gòu)買(mǎi)原廠商技術(shù)服務(wù)，引進(jìn)廠商的專業(yè)服務(wù)和智慧，提升城商行系統(tǒng)運(yùn)行的穩(wěn)定性。
　　
　　完善培訓(xùn)激勵(lì)機(jī)制，加強(qiáng)信息科技風(fēng)險(xiǎn)管理隊(duì)伍建設(shè)。人才是城商行的短板，而信息科技風(fēng)險(xiǎn)管理人員專業(yè)性強(qiáng)，屬于復(fù)合型人才。城商行首先應(yīng)引進(jìn)專業(yè)人員，提升系統(tǒng)開(kāi)發(fā)和維護(hù)的能力。其次應(yīng)適當(dāng)招聘后備人才，建立梯隊(duì)信息科技力量，加強(qiáng)培訓(xùn)，逐步使其熟悉銀行業(yè)務(wù)以及相應(yīng)信息系統(tǒng)架構(gòu)和技術(shù)，通過(guò)以老帶新、項(xiàng)目鍛煉等方式增強(qiáng)其技術(shù)水平和綜合能力，培養(yǎng)自身的信息科技人才。最后，應(yīng)努力完善激勵(lì)機(jī)制，建立專業(yè)技術(shù)人員職業(yè)發(fā)展通道，提高信息科技人員的工作認(rèn)同度和積極性。
　　
　　城商行信息科技風(fēng)險(xiǎn)管理的對(duì)策建議
　　
　　城商行必須明確自身的市場(chǎng)定位，從自身業(yè)務(wù)特點(diǎn)出發(fā)，按照監(jiān)管要求，建設(shè)具有自身特色的信息科技風(fēng)險(xiǎn)管理體系。
　　首先，城商行應(yīng)盡快樹(shù)立并強(qiáng)化信息科技安全風(fēng)險(xiǎn)意識(shí)。必須意識(shí)到，銀行業(yè)對(duì)信息科技高度依賴，信息技術(shù)系統(tǒng)的安全性、可靠性和有效性直接關(guān)系到銀行業(yè)的安全和金融體系的穩(wěn)定。不僅各級(jí)領(lǐng)導(dǎo)，信息科技條線的員工，而且全行各條線員工都應(yīng)該樹(shù)立和強(qiáng)化信息科技風(fēng)險(xiǎn)意識(shí)，防范信息科技風(fēng)險(xiǎn)。
　　其次，城商行應(yīng)明確信息科技安全第一責(zé)任人的意識(shí)，董事會(huì)、監(jiān)事會(huì)和高級(jí)管理層必須對(duì)整個(gè)信息科技風(fēng)險(xiǎn)負(fù)責(zé)，制定并指導(dǎo)全行執(zhí)行信息科技風(fēng)險(xiǎn)管理政策，有責(zé)任建立覆蓋全系統(tǒng)，自上而下的，由信息科技部門(mén)、風(fēng)險(xiǎn)管理部門(mén)、內(nèi)部審計(jì)部門(mén)等相關(guān)部門(mén)共同參與的信息科技風(fēng)險(xiǎn)管理體系。
　　第三，城商行應(yīng)有科學(xué)合理的信息科技風(fēng)險(xiǎn)管理戰(zhàn)略發(fā)展規(guī)劃。城商行應(yīng)找準(zhǔn)自身市場(chǎng)定位，結(jié)合業(yè)務(wù)特征，根據(jù)信息化發(fā)展趨勢(shì)，以及監(jiān)管部門(mén)的合規(guī)要求，制定科學(xué)合理的信息科技專項(xiàng)規(guī)劃，在總體規(guī)劃的基礎(chǔ)上，逐步開(kāi)展信息化建設(shè)，避免重復(fù)建設(shè)和信息孤島產(chǎn)生，加強(qiáng)信息科技風(fēng)險(xiǎn)管理的系統(tǒng)性和有序性。
　　第四，城商行應(yīng)強(qiáng)化各相關(guān)部門(mén)聯(lián)動(dòng)協(xié)作，建立完善信息科技風(fēng)險(xiǎn)管理的三道防線，共同做好信息科技風(fēng)險(xiǎn)管理工作。三道防線是：由策略保障體系、組織保障體系和技術(shù)保障體系構(gòu)成的完備的信息科技風(fēng)險(xiǎn)管理體制和基礎(chǔ)安全控制設(shè)施，形成信息科技風(fēng)險(xiǎn)事前防范的第一道防線；由運(yùn)營(yíng)保障體系構(gòu)成事中控制的第二道防線；由應(yīng)用恢復(fù)保障系統(tǒng)與內(nèi)外部審計(jì)部門(mén)構(gòu)成事后控制的第三道防線。此外，還應(yīng)建立和完善信息科技風(fēng)險(xiǎn)監(jiān)測(cè)、識(shí)別、報(bào)告、預(yù)警和處置的相關(guān)程序和制度。完善信息科技風(fēng)險(xiǎn)應(yīng)急處置預(yù)案，并定期進(jìn)行應(yīng)急處置演練。
　　第五，城商行應(yīng)制定和完善各類有效的信息科技管理制度，優(yōu)化信息科技風(fēng)險(xiǎn)管理流程，提高制度約束的執(zhí)行力水平，不斷完善信息安全管理機(jī)制。尤其是要加強(qiáng)信息科技服務(wù)外包和項(xiàng)目系統(tǒng)建設(shè)外包的規(guī)范化管理，要突出防范由外包可能帶來(lái)的信息科技風(fēng)險(xiǎn)。
　　第六，城商行應(yīng)加大對(duì)信息科技基礎(chǔ)設(shè)施的建設(shè)投入，保障業(yè)務(wù)快速發(fā)展的信息技術(shù)支持。在信息科技系統(tǒng)不能滿足業(yè)務(wù)發(fā)展需求時(shí)，應(yīng)適當(dāng)放慢業(yè)務(wù)擴(kuò)張的進(jìn)度，保障業(yè)務(wù)發(fā)展規(guī)模和風(fēng)險(xiǎn)管控能力的協(xié)調(diào)一致。尤其是，城商行異地經(jīng)營(yíng)，跨區(qū)發(fā)展的時(shí)候，更會(huì)對(duì)總行的信息科技系統(tǒng)支持、信息科技風(fēng)險(xiǎn)管理水平和能力提出更高的要求。
　　第七，城商行應(yīng)加大信息科技風(fēng)險(xiǎn)管理人才的引進(jìn)培養(yǎng)，加強(qiáng)隊(duì)伍建設(shè)。城商行信息科技風(fēng)險(xiǎn)管理水平的提高不僅要靠加大基礎(chǔ)設(shè)施投入，更應(yīng)該依靠信息科技風(fēng)險(xiǎn)管理專業(yè)人員水平和綜合素質(zhì)的提高。只有在加強(qiáng)自身人才隊(duì)伍培養(yǎng)的基礎(chǔ)上，充分借鑒和借用外在力量，才能保障和提升城商行自身的信息科技風(fēng)險(xiǎn)管理能力和水平，保障信息科技安全。
　　
　　責(zé)任編輯：王