摘要：隨著信息相關技術的快速發展并融入到各個領域,使其之于銀行的意義,也就猶如空氣之于人類,IT的無處不在也使就被賦予更多的商業智能。而銀行對信息技術的高度依賴,另一方面也讓銀行信息系統的安全性、可靠性和有效性直接關系到整個金融體系的安全與穩定。本文將從銀行IT技術部門的職能定位入手,結合真實案例,深入分析其在日常技術支持工作中遇到的種種問題,基于此提出我國商業銀行業IT部門如何規避信息化風險的幾點對策與建議,促進商業銀行IT部門的可持續發展。

　　關鍵詞：商業銀行;IT部門;風險

　　一、IT部門在商業銀行中的職能定位及其基本特征

　　一般來說,商業銀行的IT技術部門主要是負責全行業務處理軟件的開發及綜合業務系統運行維護。比如:根據總行的經營規劃,負責研究、擬訂并組織實施本行電子化建設中長期發展規劃和年度規劃;負責計算機及網絡等設備的選型及管理;負責全行科技應用開發,制定技術開發規章制度;負責組織實施軟件開發和改良工作;負責全行計算機系統的建設、指導和安全運轉;負責綜合業務信息的匯總、分類分析和反饋;負責總行新產品開發委員會日常事務等等。其中IT技術類管理委員會負責管理IT技術人員,同時負責制定、解釋和修改各類專業技術職務任職標準及考核辦法。

　　從IT部門的職能定位中可看出信息科技在銀行業中所具有的基本特征。首先,IT信息技術為銀行業務處理搭建了操作平臺,主要表現在:①網絡技術的發展為銀行業務拓展打破了地域限制,甚至可將觸角延伸到國外;②銀行機構業務處理模式的變化方便了客戶,業務的辦理經過信息系統提供的各類渠道實現,比如自助設備和自助銀行的出現;③現代化支付結算手段密切了各家銀行的合作共存關系,銀聯公司提供的標準和人民銀行的現代化支付結算系統都為跨行結算提供平臺;④信息科技促進了銀行業產品創新和業務創新,如電話銀行、網上銀行、手機銀行、企業銀行、自助銀行等電子銀行業務,同時基于現代科技的多種中間業務不但優化了銀行的收入結構,而且在代收代付、代理基金國債、第三方存管等業務上也突破了傳統存貸款業務的局限。其次,為銀行管理信息化的實現提供了保障,比如:集中式信貸管理系統、人事管理信息系統、財務管理信息系統,代理業務分析、支付信息分析、銀行卡業務統計分析等都分別從內部管理和業務經營分析方面為銀行管理提供了信息平臺。最后,其為各商業銀行的戰略決策提供依據,一個完善的信息系統包括了數據采集、數據提取、數據加工、形成決策報告和對外信息披露等決策子系統,為銀行管理層的戰略決策提供強有力的信息依據。

　　二、當前銀行業IT部門所面臨的主要風險

　　信息科技的不斷進步,一方面使得銀行業信息和數據邏輯集中程度不斷得到提高,另一方面又成為銀行業穩健運行的一大安全隱患,其所帶來的風險主要也是來自于信息科技的軟件、硬件或是人為過失上。1997年7月,因特網服務提供商因為日常因特網路由表更新新進程的一個錯誤,與其它的ISP失去了連接,大約45%的因特網用戶受到影響。2003年1月,美國銀行13000臺ATM機因病毒瞬間宕機,該行客戶無法通過ATM完成存取款交易。2006年日本最大的美資銀行花旗銀行出現交易系統故障,5天內約27.5萬筆公用事業繳費遭重復扣劃,或交易后未作月結記錄。2007年3月19日,中行北京分行系統出現硬件故障,除自動取款機業務未受影響外,其他各項業務被迫中斷。我國銀聯全國跨行交易系統曾經一度癱瘓6個小時,國內大部分商戶的POS機無法刷卡,所有銀行的終端無法進行跨行操作,期間阻斷交易量達246.6萬筆,金額1287.7億元。2007年上半年瑞星公司共截獲新病毒133717個,其中木馬病毒83119個,后門病毒31204個,兩者之和超過11萬,而這兩類病毒都以侵入用戶電腦,竊取個人資料、銀行賬號等信息為目的,帶有直接的經濟利益特征。

　　縱觀各種案列,我們不難發現IT部門所面臨的風險主要集中表現在:

　　1、法制的不完善

　　我國制定的《網絡銀行業務管理暫行辦法》對銀行IT風險的管理問題作了規定,包括信息安全策略、物理安全、加密、防火墻、業務應急和連續性計劃、審計、人員培訓、重大事項報告制度、安全性評估等。而《銀行業金融機構信息系統風險管理指引》的頒布,也標志著我國將銀行信息系統風險正式納入風險監管的范疇。但與其他國家發布的法律相比,我國的法律顯得較為簡略。這一方面使得國內銀行IT風險管理缺乏指導另一方面,也使現階段對網絡銀行的現場檢查難以進行。

　　2、信息技術的漏洞

　　各大商業銀行以信息技術為基礎開展的各項銀行服務擬為客戶提供一個隨時、隨地、隨意的服務交易環境,但由于應用程序在研發中考慮不周或是不夠嚴密,導致應用軟件在運行中出現財務錯亂、數據信息受損等。有的客戶在進行網上交易時,數據在傳輸過程中被泄露、篡改、偽造致使客戶信息被盜取,影響資金安全。更有甚者的假銀行網站、克隆網站或網絡黑客通過截獲客戶通訊數據、安裝木馬程序等方式套取用戶密碼和交易密碼,以轉移客戶在銀行的資金。

　　3、銀行自身數據大集中所引發的風險

　　信息技術突破了地域限制,銀行隨著進行了數據大集中,而數據集中后,雖然在管理上便于維護、升級、但系統的架構由此變得更加復雜,牽扯的各方面因素也比原來大大增加,很多問題由于權限問題在分行層面無法得到解決,需要向總行數據中心反映,削弱了分行的應急抗災能力和應變管理能力。同時,由于數據的大集中,一旦出現突發事故,將導致全行業務系統的癱瘓與停頓。

　　4、IT部門定位與管理上的不足

　　許多銀行的IT部門近幾年一直在努力吸收支持新業務運行所需的新技術、新人員,但如果僅僅是將新的技術、人員組合在一起,就無法保證基礎設施的穩定性和服務級別,提高銀行的核心競爭力。①銀行IT管理的有關制度與快速發展的IT部門適應,組織管理割裂,職責不清,IT服務管理缺乏流程保障,維護人員忙于救火,缺乏主動服務;②IT系統缺乏長期規劃,更缺乏復雜系統的運維管理經驗,關鍵人員的工作變動甚至造成技術空白;③IT部門是集運營、管理、監督于一身的技術壟斷部門,一方面由于自身的專業性極強,高級管理層和風險控制無法對其實施有效監管,另一方面由于IT部門即當裁判員又當運動員,集行政管理與技術管理于一身,無法勝任監管職責,而且容易產生責任推諉、自行其事等不良風氣與行為;④缺乏既熟悉金融業務又精通信息技術的復合型人才,與信息科技快速發展不相適應。

　　三、規避信息化風險的建議

　　針對我國目前銀行IT部門所面臨的風險,可調整當前銀行業信息科技風險管理工作的重點內容,以通過這幾點建議來規避銀行業的信息化風險。

　　1、完善IT風險的立法

　　為防范IT風險,確保銀行的正常運作,我們應借鑒發達國家的相關法律法規,結合我們的具體情況,逐步建立和完善我國商業銀行IT風險監管的法律體系。可在國家和行業層次如信息產業部頒布的立法的基礎上,對已有的如《銀行法》、《票據法》等現有法律中涉及IT風險的法律進行修訂和補充。同時制定與國際接軌的IT審計標準,如可按照國際通用的信息技術審計標準COBIT,結合我國商業銀行業的具體實際情況,建立適合我國銀行業的信息技術標準,以運用IT審計規避商業銀行的信息化風險。除此之外,還應制定相應的IT操作指南,正確指導操作人員的工作,確保信息系統的正常運行。

　　2、完善信息科技技術,進一步提高信息科技在銀行IT部門的應用

　　對于IT部門來說,提供的服務一般是無形的,表面上并不直接對組織的經營情況產生影響,無法用實際價值來衡量其貢獻度,但完善信息科技技術在銀行的運用,將對銀行業的發展帶來不可估量的前景,IT技術的健全對商業銀行來說具有不可替代的作用,也可以說是目前一個銀行發展的核心競爭力。

　　首先可以建立IT系統支持和故障維護知識庫,通過對故障解決方法的積累,在全行間實現共享,提高技術人員排除故障的效率和能力,其他用戶也可以參考實現“自助式”排除常見故障。

　　其次實時監控全行的IT基礎架構,出現異常情況時能夠按預先設置的方式及時產生明顯的報警信號,自動生成服務請求單,通知相關人員。同時對故障信息進行分類、過濾,準確分析事故原因,降低因人為判斷失誤造成的風險,提高排除故障的效率和準確度。

　　最后對銀行范圍內的網絡連接、運行狀況進行監控和管理。包括各級分行的路由器、交換機、網絡防火墻等設備的安裝情況、系統連接情況、設備運行狀態、設備參數調整與備份等,特別應關注與第三方等外來連接情況的監測,如發現存在不安全因素應及時報警,并采取應急預案,以確保系統的安全運行。

　　3、完善IT科技體系,建立風險管理信息系統,提高風險控制能力

　　隨著銀行機構的各級管理部門和管理人員對經營管理信息化的要求越來越高,經營管理和科學決策對管理信息系統的要求也越來越高。完善的信息科技體系不但能夠提升銀行機構經營管理水平,還能提高其風險控制能力。①強化以風險管理、客戶關系管理、績效考核和報表體系改革等為核心的重點項目建設,為業務管理提供全面的業務信息,為客戶營銷提供技術支持,為管理層決策提供科學依據。②建立IT與業務部門的伙伴型關系,把支持業務發展、金融創新作為IT建設及信息科技內部控制的一個目標,擺脫IT部門被動救火隊的角色。③通過加強數據標準、信息分類編碼標準和用戶視圖標準等標準的制定,保障各類信息標準的統一,提升科技管理的規范化水平和效率,提升應用系統質量,確保系統的安全和穩定運行。

　　4、提高風險意識,加強管理,加大復合型專業人才培養力度

　　信息科技部門的全體員工首先要認真學習全面風險管理理論,樹立全面風險管理的意識。風險意識是任何一個風險管理流程的起點。在風險管理中,風險管理不僅是管理層的工作,也是全體員工的責任。①對全體員工都要進行必要的培訓使其具備必要的技能,來管理自己所負責的風險,在員工加入公司的入門培訓中,就應該開始風險管理的教育。另外還可以將薪酬與風險掛鉤,將薪酬與獎勵同公司與個人的業務和風險管理表現相聯系。②挑選部分經驗豐富的技術骨干,對他們進行專業信息安全管理培訓,使員工對業務信息系統的了解、計算機專業業務知識和風險管理結合于一體,提高職工個人的抗風險能力。

　　5、IT風險預警系統的建立

　　建立IT風險預警數據庫,對銀行業IT風險事故進行科學的分類,采用數據挖掘技術對銀行的IT風險進行監測和預警。建立一個包括安全策略、安全配置管理、事態安全檢測、應用程序、數據庫管理、系統平臺、網絡通訊和物理設施等要素的一個預警指標體系,采集和統計國內外銀行甚至相關行業如商業、財稅、會計等安全性風險的數據,科學地建立我國商業銀行風險預警數據庫,確定IT指標的預警門限值,從而建立一套IT預警系統。該系統應該可以通過科學的網絡服務審計功能能夠檢測識別大部分黑客使用的網上入侵手段,記錄其入侵的源地址、攻擊的類型、攻擊的目的、攻擊的時間等信息,一旦發現入侵跡象等可能面臨威脅,則及時向銀行IT管理部門發布銀行IT風險預警信息。

　　在經濟全球化的今天,金融電子化程度的日益提高以及數據集中體系的加大,信息技術風險控制已成為銀行業金融機構風險管理的重要內容,銀行IT部門亦越來越不可或缺,IT部門對銀行信息系統科技的風險控制,加強了銀行業務運營風險的防范,只有積極去迎接、應對和解決不斷出現的各種風險,才能在這個網絡經濟時代促進銀行業的新發展。

　　參考文獻

　　[1]李翔,商業銀行IT治理初探,濟南金融,2006年第8期

　　[2]嚴峻,我國銀行業IT風險管理現狀、趨勢與對策,金融電子化,2007年第8期

　　[3]曹志鵬,金融危機對銀行IT建設的挑戰,商業銀行