首页财经股票大盘个股新股行情港股美股基金理财黄金银行保险私募信托期货社区直播视频博客论坛爱股汽车房产科技图片

加强IT风险管理 推动金融改革创新

2007年10月17日 08:11 来源: 金时网-金融时报 【字体:


  如今,银行业金融机构的业务开展高度依赖于信息技术的应用,以综合业务系统整合、数据集中处理、互联网金融服务创新为主要特征的信息化建设已发展到一个新的阶段。与此同时,信息技术风险也已成为银行操作风险的重要方面,引起了银行金融机构和监管部门的高度重视。在过去的一年中,中国人民银行发布了《关于进一步加强银行业金融机构信息安全保障工作的指导意见》,中国银监会发布了《关于开展2006年度信息科技风险内部和外部评估审计通知》、《银行业金融机构信息系统风险管理指引》、《电子银行业务管理办法/电子银行安全评估指引》等监管文件,对加强管理、防范我国银行业金融机构的信息技术风险起到重大的指导作用。  

  数据大集中后,信息技术风险管理重要性凸显  

  当前,我国银行业金融机构已基本实现集中的计算机数据处理,为银行的改革与金融创新提供了重要的技术手段和条件,但同时也带来银行技术风险高度集中的新问题。由于完成数据处理集中的时间还不长,全国性超大型数据处理中心的管理、灾难备份机制及应急处置等业务连续性管理还缺乏足够的经验,系统监控、分析、故障诊断等自动化程度还不高,应对突发事件和系统风险的能力还不强;对电力、通信等外部基础设施的依赖程度很高,抗风险的能力差;关键性技术、产品和服务由少数厂商垄断等。过去一年中,个别金融机构或服务提供商由于信息系统故障而导致全国大面积、较长时间业务中断,造成了一定程度的社会影响,引起各方面的高度关注,其教训必须引起国内金融机构的高度重视。  

  国家和金融业应进一步将金融信息安全保障工作列入重要议事日程,切实采取措施予以保证。国家应给与优惠政策,支持银行金融机构落实关键的信息安全措施,包括合理建设金融同城数据中心和异地灾难备份中心等。应在加强监管、督促银行落实防范信息技术风险的同时,积极支持适宜的社会力量参与,充分调动其积极性,进一步按照市场经济规律,提高金融信息安全保障工作的效率和质量,降低建设与运营的成本。  

  切实搞好IT治理,提高银行信息化管理水平  

  我国银行业当前有三个突出特点:一是对IT依赖程度极高;二是竞争激烈、金融创新加快,对IT建设与运维的要求十分紧迫;三是监管部门要求越来越高。银行业的IT部门,包括监管部门的IT部门,往往面临着不同业务部门众口难调的局面。同时,一些面临创新压力的业务部门为加快相关IT系统的建设,容易“饥不择食”、“慌不择路”,跳过IT部门自行组织相关IT应用系统建设,甚至包括一些IT基础设施的建设。无序的IT建设必然严重影响信息技术风险的管理。金融机构内部的科学管理面临挑战。其解决的惟一出路在于切实搞好金融机构的IT治理,提高银行信息化的管理水平。  

  银行IT治理的重点为:建立有效的IT治理结构,包括领导机制、完善制度、组织体系;建立有效的IT项目管理方法,包括需求管理(对需求的合理性、优先性进行评估)、项目计划管理、项目质量保障、配置管理(合理分配资源和资产)、合同管理(包括外包、托管的管理);建立有效的项目开发管理流程;建立有效的信息系统运行管理制度,包括系统变更管理、服务响应管理、安全管理、系统管理及人员管理等;建立有效的业务持续性管理,落实信息安全保障措施。明确业务部门的相关职责及应急规范、与IT部门的严谨分工;建立网络、硬件环境、操作系统、数据库系统、应用系统的安全保障措施;建立完善的灾难应急措施及相关实施机制;建立完善的审计、监督机制,包括项目的验收,投入产出效益评估、技术风险评估等。应充分重视巴塞尔协议和萨班斯法案操作中技术风险的防范和IT治理方面的要求,逐步与国际监管要求接轨。  

  重视网上银行的信息风险防范  

  网上银行是互联网在银行业务上的重要应用,是当今金融创新最重要的内容,也是银行业竞争的主要服务内容之一。网上银行使银行的核心业务系统不可避免地与为客户服务的互联网连接在一起,在给客户提供空前方便、快捷的金融服务的同时,也产生了新的技术风险和金融风险。互联网上新的、多元化的安全威胁手段与途径不断出现,还没有有效的技术手段事前防范病毒、黑客、自助设备作案等的发生。网上银行的安全性成了决定成败的关键。过去一段时间出现的网上银行的欺诈、盗窃资金等犯罪案件应引起银行的高度重视。  

  银行应充分认识到,高度方便、快捷的互联网应用与信息的安全性、隐私性永远是一对矛盾,不能幻想一劳永逸地彻底解决。全世界的银行业都面临这个难题。从1995年网上银行诞生以来,美国等发达国家的主要商业银行都一直在致力于解决网上银行的信息安全问题。我国的银行金融机构在这方面做了大量的、有特色的工作,包括数字证书、USB Key等的应用,构建了网上银行的安全保障平台,促进了我国网上银行的迅速发展。如何在我国网上银行如此众多的客户中,采取更加有效、方便、经济合理的信息安全防范手段,将是我国银行长期面临的管理、技术挑战,绝不可掉以轻心。  

  重视手机银行的信息风险防范  

  手机通信是我国发展最快的通讯领域,其用户已达3亿以上,超出了固定电话的装机数。手机通信无可替代的方便性,不可避免地将迅速应用于金融服务。手机银行正在成为银行金融服务创新的重要产品之一。通过手机银行,可实现在手机上的账户查询、转账、汇款、缴费、外汇买卖、银证转账、信用卡等业务,其发展前途取决于两大因素:一是移动通信的资费及相应手机的售价。二是其业务的安全性,包括手机银行的资金安全性、数据传送的完整性、客户个人信息、银行账户等私密资料在传输时的不可泄露性以及手机丢失后相关资料不可窃取性等等。  

  国内一些商业银行正积极开拓手机银行业务,采取全系统全程端到端数据加密等方式确保其信息安全性。应看到这是一个新兴的领域,与网上银行一样,面临着应用的方便性与安全性相矛盾的难题。应及早加强移动通信安全理论方法的研究与创新,并以此为基础,研究与开发适应我国国情的安全技术与产品、制定相关的技术标准与规范、提出适应包括跨行业务在内的系统安全技术解决方案,处理好相关各参与方的责权利问题。这是我国银行业加强金融创新,赶超世界发达国家先进银行服务的一个很有希望的领域。  

  重视银行信息化建设外包机制的风险控制  

  当前,我国银行业信息化建设进入新的发展阶段,其重要特征之一是进一步重视信息化建设的效率与质量、强化建设与管理机制的改革。改革的重要内容之一是探索与实施信息化建设与运行维护向国内外相关IT企业开放外包。国内的一些银行金融机构在这方面已做了大量工作,取得相当的进展和成果,加快了创新业务的发展,学习借鉴了国内外的好经验,节省了成本,提高了维护、管理水平等。与此同时,我们也应看到存在的问题与风险,这方面的监管法律法规不健全,相关的金融信息安全的监管要求缺位,如银行何种业务可以外包,何种业务不可外包,何种业务不可外包给国外厂商,以及何种业务经过批准可以外包等都缺乏清晰、明确的规定。再比如,银行的数据处理中心可否外包给外资企业、可否放置境外等,也都缺乏明确的、严谨的法律规定。日本、韩国等明确规定其银行的数据处理中心不能放置境外。同时,银行的信息化建设或运维管理外包后,如何切实依法加强对承包商的协调与管理也存在不少问题,如何切实保证IT系统的可用性和安全性,如何切实保证银行核心数据资料的安全和不可泄漏等,都值得我们高度关注并采取有效的措施。这些问题解决好了,反过来也会促进这方面改革的发展。(国家信息化专家咨询委员会委员 陈静)  

  

评论区查看所有评论

用户名: 密码: 5秒注册