关于城商行信息科技风险管理的思考
来源:用户上传
作者: 张晔明
金融创新步伐加快,信息技术迅猛发展,银行业金融机构的信息科技风险逐步增大,银行业以及监管当局日益重视信息科技风险的管理和监管。巴塞尔新资本协议明确地将操作风险纳入资本监管的范畴,而信息科技风险是操作风险的重要组成部分。为加强我国商业银行信息科技风险管理,中国银监会2009年正式发布了《商业银行信息科技风险管理指引》,适用于境内依法设立的法人商业银行,其他银行业金融机构参照执行。
尽管近年来城商行资产规模快速扩张,跨区域经营,获得了突飞猛进的发展,风险管理理念和信息技术水平得到了有力提升,资产质量得到了有效改善。但由于脱胎于城市信用社,受制于总体规模较小,地域性强,创新不足,信息技术落后等因素,整体上风险管理水平和能力相对于大型银行和全国股份制银行依然偏弱。尤其是对于信息科技风险管理的重视程度有待进一步提高,信息科技风险管理的方式方法有待进一步改进,信息科技风险管理的体制机制有待进一步完善。
城商行信息科技风险特点和表现形式
城商行发展历程不长,正处于快速扩张阶段,而且受制于规模和财务能力限制,其信息科技建设往往跟不上业务的快速发展。其信息科技风险特点和表现形式往往不同于国际活跃银行和国内大中型商业银行。
信息基础设施建设严重滞后于业务快速增长。按照国际惯例,商业银行核心业务系统主机容量使用率如果超过60%的话,就需要扩大系统容量,而国内很多城市商业银行都超过这个指标。更为明显的是,某城市商业银行2008年发生的柜台交易缓慢,业务持续一个多小时无法正常进行,仅仅就因为主干网线的入户接入设备发生故障。
城商行大多没有明晰的信息科技风险管理架构。首先,很少有城商行设置专门的信息科技风险管理机构。一般都是由科技信息部门负责信息科技风险的管理和处置,既负责信息系统和项目的开发维护,同时也负责科技风险管理,没有对此进行独立评价的部门和人员。信息科技风险归口科技信息部门,风险管理部门介入很少。其次,由于财力和人力的限制,城商行一般都根据自身能力落实信息科技风险管理,没有设立独立的信息科技风险机构和人员,没有建立完善的信息科技风险事故报告、监测和应急机制。
城商行信息科技风险专业人员缺乏,而且配备不足。首先,信息科技风险是金融业务与信息技术结合的产物,专业人员需具备综合能力,既要熟悉银行基本业务,也要熟悉信息系统架构和技术。城商行一方面专业人员缺乏,另一方面,各银行之间对于高层次人才的争夺也十分激烈。城商行在科技人才的竞争中处于不利地位。其次,城商行科技人员配备不足。国内商业银行科技人员配置比例一般是2%~2.5%,而大型银行的人员配置比例更高。据报道,国内某城商行如果按照2.5%的人员配置的话,应该至少需要科技人员200人,而该城商行全辖只有45个专业科技人员,远远低于国内银行平均水平。这在业务快速发展的城商行界非常普遍,因为城商行还是不同程度地存在着重业务发展,轻风险管理的现象。
城商行信息科技服务外包管理有待完善和规范。由于受到规模和技术力量的限制,城商行的信息系统开发一般都是外包给技术厂商,特别是有些系统的维保等也是外包给厂商的。但是城商行平时应用较多的应用系统,如核心业务系统、信贷业务系统和网上银行等,均需要在厂商成熟产品的基础上,再进行个性化的开发或者优化,专业化程度高,城商行自身科技人员难以满足开发的要求,外包存在一定风险,需要规范科技信息外包管理。此外,服务外包合同条款,外包商的服务水平评估,外包风险的应急措施及防范,以及外包管理的审核、管理机制等均有待完善。
城商行信息科技风险管理的经验介绍
随着国内城商行的快速发展,信息科技风险管理越来越得到城商行的高度重视。一些优秀的国内城商行在信息科技风险管理方面也取得了骄人的成绩,归纳以来,主要有以下四点。
城商行的“两会一层”等高级管理层要高度重视信息科技风险管理工作。在信息技术高速发展的时代,银行开展任何业务、风险管控和管理创新都离不开信息科技,而信息科技的广泛应用,必然会带来信息科技风险。而信息科技风险的产生不但会影响正常业务,产生直接损失,而且会产生声誉风险。重视信息科技风险管理不光是思想上,或者是口头上,更要落到实处,即是在人力、物力和财力上予以保证。
顺应监管要求。建立完善的信息科技风险治理架构。明确信息科技风险管理的主责任人,
“两会一层”以及首席信息官的相关职责,设立或指定一个特定部门负责信息科技风险管理工作,直接向首席信息官报告工作,明确风险管理部门、信息科技部门以及内部审计等相关部门在信息科技风险管理中承担不同的角色和职责,构建既相互协作,又独立开展工作的信息科技风险管理架构。
借助外在力量加强信息科技风险管理。城商行由于缺乏专业人才,难以对自身信息科技风险作出准确、科学的识别,更难以做出根本性的改善。应委托具备相应资质的外部审计机构定期进行信息科技风险外部审计,并及时根据外部审计机构的建议,对相关风险问题和风险点进行整改。按照《商业银行信息科技风险管理指引》,外部审计也是信息科技风险管理的事后控制,即第三道防线的重要组成部分。外部审计在城商行风险事前防范和事后控制上发挥着重要作用,比如前期媒体披露发生“特大伪造金融票证”案的某城商行,在之前的外部审计中,就被审计机构出具了存在骗贷风险的保留意见。
系统项目建设和信息科技服务的外包,也是充分借助外在力量的体现。但是,银监会信息科技风险管理指引明确要求,商业银行不得将其信息科技管理责任外包,即应合理审慎监督外包职能履行,应从外包方选择、外包谈判、协议签订、外包过程中的信息安全等方面提出明确要求。从城商行来讲,就是要完善外包管理办法,从外包服务职责、内容、资料移交、年度考核、验收、风险管控等环节制定外包制度和办法。此外,还应探索服务外包方式,购买原厂商技术服务,引进厂商的专业服务和智慧,提升城商行系统运行的稳定性。
完善培训激励机制,加强信息科技风险管理队伍建设。人才是城商行的短板,而信息科技风险管理人员专业性强,属于复合型人才。城商行首先应引进专业人员,提升系统开发和维护的能力。其次应适当招聘后备人才,建立梯队信息科技力量,加强培训,逐步使其熟悉银行业务以及相应信息系统架构和技术,通过以老带新、项目锻炼等方式增强其技术水平和综合能力,培养自身的信息科技人才。最后,应努力完善激励机制,建立专业技术人员职业发展通道,提高信息科技人员的工作认同度和积极性。
城商行信息科技风险管理
的对策建议
城商行必须明确自身的市场定位,从自身业务特点出发,按照监管要求,建设具有自身特色的信息科技风险管理体系。
首先,城商行应尽快树立并强化信息科技安全风险意识。必须意识到,银行业对信息科技高度依赖,信息技术系统的安全性、可靠性和有效性直接关系到银行业的安全和金融体系的稳定。不仅各级领导,信息科技条线的员工,而且全行各条线员工都应该树立和强化信息科技风险意识,防范信息科技风险。
其次,城商行应明确信息科技安全第一责任人的意识,董事会、监事会和高级管理层必须对整个信息科技风险负责,制定并指导全行执行信息科技风险管理政策,有责任建立覆盖全系统,自上而下的,由信息科技部门、风险管理部门、内部审计部门等相关部门共同参与的信息科技风险管理体系。
第三,城商行应有科学合理的信息科技风险管理战略发展规划。城商行应找准自身市场定位,结合业务特征,根据信息化发展趋势,以及监管部门的合规要求,制定科学合理的信息科技专项规划,在总体规划的基础上,逐步开展信息化建设,避免重复建设和信息孤岛产生,加强信息科技风险管理的系统性和有序性。
第四,城商行应强化各相关部门联动协作,建立完善信息科技风险管理的三道防线,共同做好信息科技风险管理工作。三道防线是:由策略保障体系、组织保障体系和技术保障体系构成的完备的信息科技风险管理体制和基础安全控制设施,形成信息科技风险事前防范的第一道防线;由运营保障体系构成事中控制的第二道防线;由应用恢复保障系统与内外部审计部门构成事后控制的第三道防线。此外,还应建立和完善信息科技风险监测、识别、报告、预警和处置的相关程序和制度。完善信息科技风险应急处置预案,并定期进行应急处置演练。
第五,城商行应制定和完善各类有效的信息科技管理制度,优化信息科技风险管理流程,提高制度约束的执行力水平,不断完善信息安全管理机制。尤其是要加强信息科技服务外包和项目系统建设外包的规范化管理,要突出防范由外包可能带来的信息科技风险。
第六,城商行应加大对信息科技基础设施的建设投入,保障业务快速发展的信息技术支持。在信息科技系统不能满足业务发展需求时,应适当放慢业务扩张的进度,保障业务发展规模和风险管控能力的协调一致。尤其是,城商行异地经营,跨区发展的时候,更会对总行的信息科技系统支持、信息科技风险管理水平和能力提出更高的要求。
第七,城商行应加大信息科技风险管理人才的引进培养,加强队伍建设。城商行信息科技风险管理水平的提高不仅要靠加大基础设施投入,更应该依靠信息科技风险管理专业人员水平和综合素质的提高。只有在加强自身人才队伍培养的基础上,充分借鉴和借用外在力量,才能保障和提升城商行自身的信息科技风险管理能力和水平,保障信息科技安全。
责任编辑:王大威
转载注明来源:https://www.xzbu.com/3/view-757269.htm
