中小商業(yè)銀行信息科技風險管理研究

劉志海

隨著經(jīng)濟的發(fā)展和社會主義現(xiàn)代化建設(shè)事業(yè)的進步，我國的各行各業(yè)都進行了全面的改革和創(chuàng)新，這其中就包括中小商業(yè)銀行的發(fā)展。隨著銀行信息化建設(shè)的不斷發(fā)展，科技和銀行發(fā)展之間密切融合，中小銀行對信息科技的依賴程度很強，因而信息技術(shù)系統(tǒng)的安全性和可靠性對中小企業(yè)的影響較大，影響到中小商業(yè)銀行的發(fā)展，在中小商業(yè)銀行利用信息科技的同時，信息科技也給中小商業(yè)銀行帶來一定的風險。但是有些中小商業(yè)銀行沒有認識到信息科技所帶來的風險，在發(fā)展的過程中面臨一些困擾和挑戰(zhàn)。我們主要闡述了中小商業(yè)銀行信息科技風險管理研究。

風險管理現(xiàn)狀

有的調(diào)查顯示，在中小銀行管理的過程中，其抵抗風險的能力比較差，同時許多中小銀行處于初級發(fā)展階段，雖然在發(fā)展的過程中已經(jīng)制定了長遠的業(yè)務(wù)戰(zhàn)略規(guī)劃，但是不重視信息科技發(fā)展戰(zhàn)略的制定，缺乏科技風險管理工作的指導(dǎo)，沒有將信息科技風險管理納入到銀行風險管理體系中，主要表現(xiàn)為以下幾方面。首先，不能清楚的認識到科技風險的存在，在管理的過程中存在許多的問題，對信息科技風險的認識不夠細致，日常銀行運行的過程中不重視對信息科技的風險管理，缺乏業(yè)務(wù)知識，也沒有得到相關(guān)部門的有力支持。其次，信息科技管理體系不完善。我國的中小商業(yè)銀行制定的科學管理體系和管理制度，但是在具體建設(shè)的方面還存在人員素質(zhì)能力不高的問題，不重視對專門的風險管理崗位的設(shè)置，缺乏監(jiān)督管理的體系。進行信息管理的過程中，分析信息科技風險的能力不足，沒有認識到風險的尺度，沒有制定統(tǒng)一的規(guī)劃標準和依據(jù)，不能建立風險控制和評估平臺。另外，中小商業(yè)銀行對信息科技風險評估團隊的建設(shè)不夠重視，導(dǎo)致整體質(zhì)量發(fā)展水平差，沒有全面的了解信息安全方面的知識，從而不能有效的預(yù)測風險的存在。

風險管理目標及策略

首先為了加強中小商業(yè)銀行應(yīng)對信息科技風險的能力，應(yīng)該重視對風險管理有效機制的建設(shè)，能夠?qū)萍硷L險進行識別、監(jiān)測和控制，從而保證中小企業(yè)銀行的穩(wěn)定和健康發(fā)展。通過利用信息技術(shù)等手段提高中小商業(yè)銀行的核心競爭力，為中小商業(yè)銀行的可持續(xù)發(fā)展奠定基礎(chǔ)，在這樣的歷史背景下，我國的中小商業(yè)銀行的發(fā)展面臨的機遇和挑戰(zhàn)，為了更好的促進主要商業(yè)銀行的安全運行，制定戰(zhàn)略規(guī)劃非常有必要，能夠探討風險管理和內(nèi)部控制的具體措施，改變傳統(tǒng)的經(jīng)營管理理念，不斷創(chuàng)新管理體制和發(fā)展模式。其次，通過研究可以發(fā)現(xiàn)，我國的金融領(lǐng)域還存在一些問題和風險，如管理方式粗放，風險管理存在不少問題，為此，做好新時期的金融工作非常的關(guān)鍵，在金融工作的過程中注意對風險的防范和化解，同時對金融的監(jiān)控和調(diào)控，嚴厲打擊違法犯罪的行為，重視對網(wǎng)絡(luò)信息安全的建設(shè)，提高中小商業(yè)銀行抵抗風險的能力，避免風險的進一步擴散，并且加強信息科技風險的防范。再次，加強科技風險管理意識，滿足中小商業(yè)銀行發(fā)展的實際需求，并且為中小商業(yè)銀行的發(fā)展提供健康的環(huán)境，讓工作人員提高信息科技風險的防范意識，加強對風險管理基礎(chǔ)設(shè)施的建設(shè)，完善風險防控體系奠定基礎(chǔ)，同時還能夠保證信息科技風險管理和國際先進的地區(qū)和國家接軌，提高中小商業(yè)銀行抗風險的能力。此外，在具體的指導(dǎo)方面，全面建設(shè)銀行的風險管理體系，并且將信息科技風險納入到風險管理體系中，并且貫穿整個中小企業(yè)銀行的發(fā)展。完善信息科技風險管理體系，提高管理的水平，保障信息系統(tǒng)的安全和穩(wěn)定運行。只有建立完善的規(guī)章和制度才能保證信息科技風險管控的流程化和科學化。

風險管理措施

強化信息科技風險意識

在中小商業(yè)銀行發(fā)展的過程中，信息科技風險管理涉及到的部門比較多，同時人員也包含各個層面。為此，中小商業(yè)銀行應(yīng)該從多種角度和多個層次來看待信息科技風險，必須樹立信息科技風險意識，將信息科技風險納入到中小企業(yè)整體發(fā)展的規(guī)劃中，認識到信息科技風險的防范不僅僅需要依靠科技信息部門，還應(yīng)該積極調(diào)動廣大的工作人員參與其中，讓更多的工作人員認識到信息科技風險意識的重要性，明確自身的責任，在自己的工作崗位能夠保證信息安全管理，不斷提高信息安全技術(shù)和風險防范意識，可以積極參與到中小商業(yè)銀行的信息安全建設(shè)和管理的過程中?，F(xiàn)階段，隨著互聯(lián)網(wǎng)技術(shù)和信息技術(shù)的不斷發(fā)展，在中小商業(yè)銀行發(fā)展中信息科技已經(jīng)滲透到了各個方面，各個領(lǐng)域?qū)π畔⒖萍嫉囊蕾嚦潭炔粩嗉由詈蛷娀?，但一旦出現(xiàn)信息安全事件，會對中小商業(yè)銀行造成嚴重的影響。中小商業(yè)銀行在發(fā)展的過程中，應(yīng)該堅持規(guī)避科技風險和發(fā)展相協(xié)調(diào)，保證中小商業(yè)銀行在發(fā)展的同時提高信息科技風險的管理能力?？梢哉f，堅持科技發(fā)展和風險管理相融合的發(fā)展原則，才能從根本上提高中小商業(yè)銀行的發(fā)展。

完善信息科技風險管理體系

為促進中小商業(yè)銀行抵抗風險的能力，應(yīng)該重視對信息科技的戰(zhàn)略規(guī)劃的建設(shè)，保障企業(yè)和銀行之間的業(yè)務(wù)能夠相匹配，促進信息科技規(guī)劃建設(shè)的操作性和合理性。首先，中小商業(yè)銀行應(yīng)該按照相關(guān)的規(guī)定和要求結(jié)合自然的發(fā)展情況來制定科學完善的管理措施。并且明確規(guī)定各部門和工作人員的責任，在具體的科技管理的過程中，做到事先管理、事中信息科技風險管理和事后管理相結(jié)合，形成相互制約和職責分明的信息科技治理組織結(jié)構(gòu)。加強對信息科技內(nèi)部規(guī)章制度的建設(shè)，明確信息科技對中小商業(yè)銀行發(fā)展的重要性，做到信息科技發(fā)展的過程中有規(guī)可依和有章可循，將信息科技規(guī)章制度納入到中小銀行的規(guī)章制度管理中，發(fā)揮各個部門之間的約束作用。其次，建立信息科技風險管控的目標，在此基礎(chǔ)上制定長遠的發(fā)展規(guī)劃，保障各項措施的有效落實，加強各個部門之間的溝通也有合作，尤其是在制度建設(shè)和人員管理等方面相互配合，從整體上提高中小銀行提高信息風險的能力。

強化信息科技風險管理

通過加強風險管理也能夠提高中小銀行的抗風險能力，建立各級風險監(jiān)測體系，建立風險監(jiān)測制度，對存在的風險發(fā)現(xiàn)后及時的排除，并且找到風險存在的原因，將風險管理控制貫穿在整個中小銀行的發(fā)展過程中，分析科技風險對中小商業(yè)銀行發(fā)展的影響，建立風險分類管理機制，加強對各個環(huán)節(jié)的監(jiān)督管理。此外，不斷完善風險報告機制，加強業(yè)務(wù)管理部門和信息科技部門之間的合作，從總體上提高中小商業(yè)銀行的抗風險能力。

（1）信息科技風險管理機制

首先，為了更好的促進中小商業(yè)銀行的發(fā)展，制定長遠的發(fā)展規(guī)劃和科技信息發(fā)展戰(zhàn)略規(guī)劃非常關(guān)鍵。在此過程中保證人力、物力和財力的充足，保證安全信息科技環(huán)境。制定全面的信息科技風險管理機制，包括中小商業(yè)銀行發(fā)展過程中的人員安全、物理安全和信息科技運行維護安全等。其次，為了加強對信息的安全管理，應(yīng)該對信息資產(chǎn)進行分級和分類管理，為保證信息的安全性建設(shè)奠定基礎(chǔ)。此外，可以采取主動防御機制，包括安全防護體系和基礎(chǔ)管理體系，加強對企業(yè)發(fā)展的各個環(huán)節(jié)的監(jiān)督和管理工作，并且不斷完善監(jiān)督管理制度，保證制度的有效落實，在此過程中拓展安全機制的覆蓋面。通過優(yōu)化信息安全技術(shù)防護的手段能夠?qū)⒋嬖诘奈ｋU有效的解除，并且對重點環(huán)節(jié)進行防范，提高信息安全的有效性。再次，重視對運行體系的建設(shè)，提高運行的能力和服務(wù)水平，為后來的管理流程的完善奠定基礎(chǔ)，加強對重點時間的有效響應(yīng)。最后，通過連續(xù)性的管理體系能夠保證金融服務(wù)的穩(wěn)定性，為中小企業(yè)的發(fā)展奠定基礎(chǔ)?？梢詫I(yè)務(wù)連續(xù)性的管理納入到銀行風險管理體系內(nèi)，明確各管理層和機構(gòu)之間的責任，從而有效的推動業(yè)務(wù)的順利開展。

（2）信息科技風險評估

首先，重視對風險評估制度的制定和落實，并且建立信息風險監(jiān)測體系，對存在的風險也是進行有效的識別。提高信息科技風險的全面性?？梢圆扇★L險分級分類的管理制度，做好各個環(huán)節(jié)的應(yīng)急處置，加強日常的應(yīng)急演練。其次，能夠準確的識別風險，避免出現(xiàn)主觀臆斷。在風險評估的過程中，需要采取科學的手段和方式，保證風險評估的準確性，將風險事故造成的危害降到最低。重視信息科技風險識別和評估的制度化和常規(guī)化建設(shè)，保障風險識別和評估的流程合理，及時的消除存在的安全隱患。找到對中小商業(yè)銀行業(yè)務(wù)存在的潛在風險，進而采取規(guī)避風險的措施。再次，風險監(jiān)測是動態(tài)和連續(xù)的過程，需要對信息科技風險的變化情況進行實時的跟蹤，需要有效的了解風險變化情況，然后再具有針對性的調(diào)整對策，能夠針對不同類型的風險進行不同的識別和分析，在風險進一步惡化之前及時的上報，以便相關(guān)的工作部門建立有效的控制對策。還應(yīng)該制定嚴密的風險報告制度，保證制度的有效落實，能夠認識到信息科技風險控制策略和商業(yè)銀行的發(fā)展戰(zhàn)略目標一致，在具體發(fā)展的過程中，重視對風險應(yīng)急和處置機制的建設(shè)，制定應(yīng)急預(yù)案響應(yīng)機制，對風險進行化解和轉(zhuǎn)移。

加強行業(yè)和跨行業(yè)的協(xié)調(diào)與合作

首先，應(yīng)該做到資源共享和平臺共享，提高中小銀行的整體風險防范能力，通過聯(lián)盟合作的方式能夠讓中小商業(yè)銀行少走彎路。為此，中小商業(yè)銀行應(yīng)該加強交流和學習，做到合作共贏，能夠認識到自身發(fā)展的不足和優(yōu)勢，借鑒成功者的經(jīng)驗和教訓(xùn)，更好的實現(xiàn)企業(yè)的創(chuàng)新發(fā)展。其次，跨行業(yè)的技術(shù)合作。因為中小商業(yè)銀行的科技人員數(shù)量比較少，同時質(zhì)量參差不齊，需要和外部的科技公司合作，加強自身的業(yè)務(wù)能力建設(shè)，提高業(yè)務(wù)能力，此外，中小商業(yè)銀行應(yīng)該借鑒外部公司的安全防范措施，結(jié)合自身發(fā)展的實際情況提高信息科技風險防范的水平和能力，促進中小商業(yè)銀行的健康發(fā)展。

結(jié) 語

綜上所述，在中小商業(yè)銀行發(fā)展的過程中還存在著信息科技風險，對其發(fā)展不利，為此，應(yīng)該做好信息科技風險管理工作。中小商業(yè)銀行應(yīng)該認識到信息科技風險是長期和持續(xù)改進的過程，需要制定全方位的管理體系，在企業(yè)發(fā)展的過程中應(yīng)該樹立憂患意識和風險意識，為提高企業(yè)的市場競爭力奠定基礎(chǔ)，能減少信息科技風險帶來的危害，平衡中小商業(yè)銀行業(yè)務(wù)和信息安全之間的關(guān)系，為用戶提供安全和有保障的金融服務(wù)。

（甘肅銀行股份有限公司）