商业银行信息科技风险分析及管理策略

管理　§＿●　科学　商业银行信息科技风险分析及管理策略　叶贵添　（武汉大学经济与管理学院湖北武汉４３００２７１　摘要：　随着银行信息化建设的深入，如何提高信息科技风险管理水平，已经成为银行在信息化建设过程中必须面对的一个重要课题。在分析商业银行信息　科技风险的基础上，提出了信息科技风险管理的策略。　关键词：　信息科技风险；风险管理；商业银行　中图分类号：Ｆ８３文献标识码：＾文章编号：１６７１－－７５９７（２０１０１　０４２０１８５—０１　０引曹　信息科技在银行的广泛应用，使其成为银行稳健运营和提高竞争力的　基础和保障。但是信息科技在促进银行业务发展的同时，也使银行业面对　巨大的技术风险，一旦信息科技方面发生问题，将会直接影响到银行业务　的连续性，甚至会影响到银行的安全。因此，商业银行加强银行信息科技　风险管理，确保银行信息系统的安全、稳定、持续有效运行，已经直接关　系到银行的运营和发展。　１曩行信息科技风险曩述　１．１信息科技风险定义。在中国银监会下发的《商业银行信息科技风　险管理指引》中，对商业银行的信息科技风险做了如下定义：“信息科技　在商业银行运用过程中，由于自然因素、人为因素、技术漏洞和管理缺陷　产生的操作、法律和声誉等风险”。　１．２信息科技风险来源。概括的说，信息科技风险主要来自四个方　面：一是自然原因导致的风险，包括地震、台风等自然灾害造成的风险；二　是系统风险，是由信息系统相关软硬件的缺陷引起的，包括基础设施和硬件　设备老化、应用和系统软件质量缺陷等；三是管理缺陷导致的风险，主要体　现在由管理制度的缺失或组织架构的制衡机制不完善，引起的管理或制度的　空白及漏洞；四是由人员有意或无意的违规操作引起的操作风险。　２信息科技风硷ｆ理的■耍性　近年来，特别是金融危机后，风险管理已经成为商业银行经营管理的　重点领域，而信息科技风险作为银行风险的重要重组部分，在外在和内在　因素的驱动下得到了高度重视：　２．１外在驱动因素。近几年，国家金融监管部门对商业银行信息科技　风险管理日益重视并提出了更高的标准和要求，将商业银行的信息系统纳　入现场和非现场监管，大力开展信息科技风险检查工作。银监会２００９年３月　下发的《商业银行信息科技风险管理指引》，从信息科技治理、信息科技　风险管理、信息安全、信息系统开发测试维护、信息科技运行、业务连续　性管理等方面提出了具体而细致的风险管理要求。监管力度的加大，促使　商业银行针对信息技术风险防控制定出更强有力的措施，不断提高信息安　全风险管理水平。　２００４年正式公布的新《巴塞尔资本协议》重新修订了银行风险的分类　和定义，对信息科技风险进行了定义，明确将信息科技风险作为操作风险　的重点纳入银行全面风险管理框架。按照有关规定，２０１０年￣Ｕ２０１３年，我　国将要实施巴塞尔新资本协议。　２．２内在驱动因素。随着银行信息化建设的深入，信息技术已经深入　到商业银行经营管理的各个领域，成为银行业务发展和管理提升的技术保　障。信息科技风险牵一发而动全身，信息系统的安全性和可靠性关系到商　业银行整体经营管理活动的稳定，因此加强信息科技风险管理是提高银行　信息科技治理水平和体现银行整体风险管理水平的需要。　３信息科技风险ｆ曩策略　针对我国商业银行现状，借鉴国外先进的管理经验和教训，商业银行　的信息科技风险管理可以关注以下几个领域：　Ｉ）构建和完善信息科技治理结构，建立健全信息科技风险管理制度。　信息科技风险管理不仅是技术问题，更是管理问题，只有持续完善信息科　技治理结构，建立信息科技管理、信息科技风险管理和信息科技审计相结　合的组织架构，建立健全信息科技风险制度，落实信息科技风险管理和防　范责任，才能真正实现信息安全管理的目标，避免管理缺陷导致的风险。　２）强化信息系统研发项目管理，规范产品开发和投产流程。在信息　系统投产前的研发和开发阶段，强化信息系统的项目管理，进行全面的风　险分析并制定对应的防范措施，可以有效降低信息系统缺陷导致的信息系　统质量风险。为此，可以通过制定有效的措施保障应用系统的研发质量，　包括：不断改进研发和测试管理流程，加强需求管理、项目方案审查、研　发过程管理和项目质量控制；优化调整应用版本、测试、投产和变更流程　及策略，降低因版本投产和生产变更带来的风险隐患；将外包项目纳入全　面风险管理范围，严控外包风险；与业务部门密切配合，加强沟通和协　调，避免业务人员使用的系统操作风险。　３）提升运行维护和操作管理水平，推进生产运行自动化和流程化管　理。生产运行风险是银行信息科技风险的突出表现，而生产运行的风险大　多体现为操作风险。为此，商业银行应采取有效的运行管理措施，降低系　统运行风险。通过生产运行流程化改造，实现信息科技运行维护的流程化　管理；采用技术手段和工具软件提高生产操作、监控等生产运行管理的自　动化程度，降低人为因素引起的风险；建立并完善应急管理体系，明确应　急预案和流程，确保出现紧急事件情况下能够进行妥善处理，将风险影响　降至最低；提高科技人员的风险意识，实施关键操作的二次确认的管理制　度，避免由于误操作引起的风险。　４）采取有效的技术和管理方法防范、化解信息安全风险。信息安全管　理的核心是通过信息安全内控体系，确保银行信息系统和数据的保密性、　完整性和可用性。为此，银行可通过制定和落实信息安全体系规范和信息　安全等级保护措施，分析和解决信息安全隐患，主动发现和防范信息安全　漏洞。同时，采取内部审计和外部审计相结合的方式，定期对信息系统和　信息保障设旅进行专项检查，并根据审计要求进行整改，形成信息科技风　险检查、评估和整改的良性循环，从而实现信息安全体系的持续完善。　５）完善灾备机制，实施业务连续运行管理。现代商业银行以“数据　集中”为特征的信息化建设，加大和集中了信息风险，因各种因素导致的　信息系统灾难将对商业银行带来巨大的损失甚至毁灭性的打击。完善灾备　体系，制定包括应急、业务恢复、危机处理等方面的业务连续性计划，可　以有效的降低信息系统灾难所造成了的不良影响，提高风险防范能力。在　此基础上，信息科技部门应积极组织开展应急演练，保证灾备体系和业务　连续运行方案的有效性和可操作性，切实提高风险防控和风险管理水平。　４靖嚣　本文针对商业银行信息科技风险进行了研究，从信息科技治理、软件　生命周期管理、系统运行维护、信息安全、业务连续性管理这五个领域出　发，提出了商业银行信息科技风险管理的策略，以提高商业银行信息科技　风险管理的全面性和有效性。　参考文献　［１］Ｅｒｎｉｅ　Ｊｏｒｄａｎ，Ｌｕｋｅ　Ｓｉｉｃｏｃｋ．ＩＴ风险一一基于ＩＴ治理的风险管理之　道［Ｍ］．清华大学出版社，２００６．１２．　［２］中国银行业监督委员会，商业银行信息科技风险管理指引，２００９－０６－０１．　［３］欧志翔、全飞、李霁，银行ＩＴ风险管理分析，全国商情经济理论研　究，２００８，　（４）：７３－７５．　［４］李东卫，商业银行信息科技风险的分析与对策，中国金融电脑，　２００９，（６）：５Ｏ一５４．　［５］林晓轩，加强信息科技风险管理打造安全的金融ＩＴ平台，中国金融电　脑，２００９，（１）：１０－１３．