银行信息科技调研(共8篇)
信息科技是银行业务高效、稳定发展的前提保障,在我行业务发展的同时,对信息科技工作更加依赖,这样也给我们这些信息科技工作者提出了更多难题和管理要求。做为二级分行的信息科技人员,信息科技工作起到承上启下作用,从我行实际出发,就信息化队伍建设、信息安全管理、系统的运维等方面进行调查研究。
一、基本情况。
1、组织机构。***州分行下设科室信息科技部,负责***全辖信息科技工作,人员有2名:一名部门主管,一名副主管工程师,信息科技部的工作2人分工不同,但互为A/B角。
2、工作职责。
二级分行管理员负责各业务系统推广及保障各系统稳定运行;负责局域网、广域网安全稳定运行;保障机房及相关设备的稳定运行;州分行机关计算机相关的软硬件维护与管理;各类网络视频会议调试及使用;完成各项应急演练、自查等任务;协助支行完成各类信息科技相关工作。
县级支行系统管理员主要负责各业务系统推广和稳定运行;保障机房及相关设备的稳定运行;支行计算机设备的软硬件维护、管理;视频会议系统使用及维护;完成上级行安排部署的自查、应急演练等任务。
3、人员结构。***州分行及辖内支行系统管理员共有 A、B 角共 20 名。年龄结构上,平均年龄为31.28岁,其中年龄最大为37岁。知识结构上,其中计算机相关专业毕业有8人,其他专业有12 人。职业结构上,专职系统管理员 2 名、其余 18 名均为兼职系统管理员。
二、存在的主要问题。
1、信息科技力量薄弱。目前县支行均配备了两名系统管理员,但部分县支行信息科技工作薄弱的实际情况仍未改变,由于A、B角均为兼职,工作上无法潜精研思,无法专心从事系统管理工作。且部分支行 A、B 角信息技术非专业出身,技术水平有限,且人员变动频繁,无法开展有效的连续工作。
2、事务繁杂,无时间专研。
县支行系统管理员常常面临同时处理多部门工作的情况,无心应暇全面,工作上应付,难以推进信息科技各项工作有效发展。
3、各类系统推广加大系统管理员工作难度。
全面信息化是社会发展趋势,随着我行各项业务信息化的逐步深入,各系统的推广上线,系统运维、转培训、人员解释等工作也随之增加,信息科技工作人员的工作压力也在逐步累加,尤其是二级分行系统管理员任务繁多,甚至有些系统在使用出问题时才告知信息部门,信息部门才知道有此系统。
三、对策建议。
1、优化人员结构。
从我行实际情况出发,优化信息科技人员力量是最简单有效的方法。一是可从新聘人员入手,加大信息科技相关专业人员招聘力度,为我行信息科技工作补充新鲜血液。
二是,优化基层内部人员结构,系统管理员一职可优选专业知识好,吃苦耐劳的员工。有条件机构,各部门平均分配有一定计算机操作能力的员工,有能力解决信息系统带来操作问题,降低信息科技工作人员工作强度。
2、加强信息科技培训。
信息科技培训可从两方面入手,一是加强专业培训,加强系统管理员的操作培训工作是缓解基层行信息科技工作延滞的有效方法,针对信息工作各方面发现的问题举办有针对性的培训班,提高发现问题、解决问题的能力。二是加强全员培训,银行业是信息科技应用的前沿行业从保障信息安全,优化流程再造,优化客户体验都促使银行业必需应用优良的信息系统来支撑,从我行人员结构来看,切实加强全员培训,让全体员工对全面了解我行信息系统结构或局部了解各业务系统流程分解、流程优化、流程再造等信息都对我行信息科技推广工作具有有效促进作用。
3、强化基层信息科技工作管理。
目前, 我国已经有20多个省 (区、市) 开展了“农技110”信息服务工作, 覆盖了1 000个左右的县和8 900多个乡镇。为贯彻落实党的“十七大”精神及中央农村工作会议精神、加快农村科技信息化和加速农村科技进步, 科技部、工业和信息化部联合发布了《关于加强农村科技信息服务的意见》, 共同推进“星火科技12396”信息服务工作, 建立健全农村科技信息服务体系[1]。2008年7月下旬, 科技部联合有关部门, 在全国范围内开通了统一农村科技信息服务号码“12396”, 并与工业和信息化部联合开展试点工作, 在全国范围内首批确定了北京市、河北省、内蒙古自治区、安徽省、福建省、山东省、湖北省、广东省、海南省、陕西省、甘肃省和宁夏回族自治区12个“星火科技12396”信息服务试点省份, 信息服务工作将在试点的基础上逐步推广。全国政协副主席、科技部部长万钢在“星火科技12396”启动仪式上指出, 要把“星火科技12396”信息服务工作作为加快农村科技服务机制创新、健全农村科技服务体系、促进城乡科技统筹的重要载体, 要加强农村科技信息资源开发和共享, 健全农村科技信息服务人才队伍, 加强服务内容和服务载体的集成, 探索建立可持续发展的运行机制, 需要健全部门联合工作机制, 共同推进农村科技信息服务, 推动农村信息化向纵深发展[2]。
“星火科技12396”是以“12396”服务热线为纽带, 以互联网为基础, 以专家服务系统和科技信息数据库为核心, 以整合科技和涉农部门资源为手段, 建立一个高效快捷、机制灵活和信息共享的新型科技服务平台, 涉及范围广, 服务领域宽, 技术应用复杂, 服务群体众多, 具有很强的地区性。2008年8月, 北京农业信息技术研究中心和中国农村技术研究中心相关人员联合制定了《“星火科技12396”信息服务试点调研表》, 并通过电子邮件、电话和传真等方式, 将调研表发送到12个信息服务试点的承担单位。截止到2008年9月8日, 12个信息服务试点全部填写, 并回复了反馈信息。通过本次调查, 初步了解了12个信息服务试点开展信息服务的基本状况, 为“星火科技12396”数据库的标准规范建立提供有效支撑。
1 试点需求分析业务流程
分析12个“星火科技12396”信息服务试点的现状和需求, 主要采用的业务流程如图1所示。
2 信息服务试点调研内容
涉及试点承担单位信息、数据库环境的调查、元数据调查、数据采集与更新调查、数据分类与编码调查、数据存储和数据库结构调查、数据质量控制调查、问题和建议、相关实例等内容, 发送到12个试点省份, 并根据反馈内容进行汇总、统计及分析。反馈信息显示, 各试点在数据库建设中的问题是多方面和多角度的, 缺乏科学统一的数据库建设规范;信息服务效果还有待提高, 数据资源建设在内容上缺乏针对性;数据资源具有地域性问题和个性化问题;数据库检索方式与农民应用还有距离;资金相对短缺, 无法在数据库建设上投入更多的经费等。 具体分析如下。
2.1 人员情况分析
“星火科技12396”信息服务试点承担单位的人员素质将是服务示范效果的重要基础。湖北、河北与山东省的专职人员、兼职人员和临时人员总数均超过60人;湖北省的专职人员数量最多为51人;河北省和山东省的兼职人员数量最多均为10人, 如图2所示。在各试点承担单位中, 具有研究生及以上学历的人员共计75人, 山东省最多达25人;本科人员共计200人, 最多的湖北省, 共计46人。在各试点承担单位中, 具有高级职称人员共计79人, 最多的山东省, 达19人;中级职称人员共计113人, 最多的湖北省, 达46人。
2.2 相关设备情况
目前, 各信息试点进行信息服务的主要设备包括服务器、台式电脑、笔记本、摄像机、照相机、复印机、扫描仪、打印机、磁盘阵列和编辑等, 平均服务器9台, 台式电脑33台, 笔记本6台, 摄像机2部, 照相机4部, 复印机2台, 扫描仪2台, 如图3和表1所示。
从12个试点调查来看, 县市信息化设备水平存在一定差异。服务器最多的是广东省, 达到30台;台式电脑最多的是甘肃省, 达到66台;笔记本电脑最多的是山东省, 达到20台。
2.3 数据库情况
12个试点均接入了Internet, 搭建了自己的门口网站, 83.33%的试点采用了光纤接入, 除了陕西省试点运用外Unix系统外, 其他省市试点操作系统均不同程度地采用Windows系统。自2004年以来, 各省市加大了对科技服务的信息化投入。在12个试点中, 用在数据库建设的投入资金达到1 276万元, 并且呈逐年呈增长趋势, 如图4所示。其中, 甘肃省投入最多, 达到367万元, 试点承担单位的资金投入与东西部区域没有直接联系。
2.4 试点数据库元数据分析
随着农村科技的发展和信息技术的进步, 农村服务数据在迅速增长, 但广大农村科研人员在实际工作中往往感到所需数据的匮乏。这种匮乏并不是因为所需的数据不存在, 而是由于这些数据难以发现和获取。元数据的缺乏和规范正是制约这种情况的主要因素[3,4]。元数据是关于数据的数据, 用于说明数据的内容、品质、产生过程和背景等。数据提供者可能在数据产生很长时间后才去使用和重用它们。本次调查研究显示, 试点承担单位基本没有形成规范化的数据库元数据内容, 只有河北、湖北和甘肃试点有简短的元数据介绍, 对于现有服务数据缺乏直观、明确和标准的描述内容。
2.5 试点数据采集与更新分析
2.5.1 数据来源单位类型情况
调查显示:91.7%的试点通过科研单位获得数据;75%的试点通过基层生产和推广单位获得数据;66.7%的试点通过基层行政和管理部门获得数据;58.3%的试点通过大专院校和学术团体获得数据, 25%的试点通过其他途径获得数据。采用前4种方式获得数据的单位均超过半数, 依次是科研单位、基层生产/推广单位、基层政府/管理部门和大专院校/学术团体。试点获取数据的主要途径包括互联网络、其他数据库、报刊杂志、电视节目、广播节目、农贸市场和相关人员知识/资料等。大部分试点通过相关人员知识/资料 (100.0%) 获取所需资料;超过50%的试点采用互联网路、其他数据库或农贸市场等获得数据;通过报刊杂志、电视节目或广播节目获得数据的分别为41.7%, 33.3%和16.7%, 如图5所示。
2.5.2 数据来源方式
调查结果显示, 83.3%的试点采用免费的方式获得数据, 66.7%的试点采用购买的方式获得数据, 58.3%的试点采用交换的方式获得数据, 33.3%的试点采用其他的方式获得数据, 如图6所示。
2.5.3 数据更新情况
50.0%的试点每天进行信息更新, 8.3%的试点每月进行信息更新, 不固定更新和按需要更新的试点分别占33.3%和16.7%。所有试点均含有文本数据形式, 83.3%的试点有视频和图片的数据形式, 有8.3%的试点含有其他形式的数据, 41.7%的试点数据保存5a以上, 25.0%的试点数据保存3-5a, 25.0%的试点数据保存1-3a。
2.6 试点数据分类与编码分析
2.6.1 采用国际/国家/行业分类标准的状况分析
针对该类调查对象, 调查的“星火科技12396”数据分类是否采用国际/国家/行业分类标准, 主要包括“是”和“否”选项, 其中“是”选项请进一步列举采用的相关标准。调查结果显示:在调查范围内, 对是否采用国际/国家/行业分类标准持肯定回答“是”的所占比例相对较少, 为41.7%;持否定回答“否”的超过了50%, 为58.3%。
2.6.2 数据分类情况
调查显示, 12个试点的服务数据均有分类。调查的分类级别包括2级、3级、4级、5级和5级以上。调查结果显示:采用4级分类的比例最大, 为33.3%;其次是采用3级分类为25.0%和采用5级分类为25.0%;所占的比例最少的是采用2级分类为8.3%和采用5级以上分类为8.3%, 如图7所示。
针对调查对象, 对一级分类的划分标准进行调查。调查结果显示:数据一级分类按行业划分占总调查数的比例最大 (75.0%) , 按领域划分 (8.3%) , 按区域划分 (8.3%) , 按行业、存储格式划分 (8.3%) 都占有较小的比例。数据二级分类按行业划分的比例最大, 占41.7%;按区域划分的占8.3%;按作物划分的占8.3%;按行业和领域划分的占8.3%;按类别划分的占8.3%;按生产过程划分占8.3%;按行业和存储格式划分的占8.3%;按种养的动物和植物划分成若干分支种群划分的占8.3%。
2.6.3 数据编码情况
针对该类调查对象, 调查的“星火科技12396”数据分类是否有编码主要包括“是”和“否”选项。调查结果显示:持肯定回答“是”的占75.0%;持否定回答“否”的占25.0%。对数据编码的原则进行调查, 调查结果显示:按顺序编码的占调查总数的25.0%;按层次编码的占41.7%;按层次和顺序编码的占16.7%;采用无序编码的占8.3%;没有表示编码原则的占8.3%[5]。
2.7 试点数据存储和数据库结构分析
在12个信息服务试点中, 除了海南省外, 其他11个试点均建立了自身数据库结构和数据字典。名称、数据类型和字段名为最主要的表结构, 各试点的数据库结构存在较大差异, 需要进一步制定完善的数据库结构/数据字典规范。
2.8 试点数据质量控制分析
试点数据质量控制主要包括在对数据来源、采集、加工入库以及相关质量评价等进行数据质量控制, 使“星火科技12396”数据库建设规范化和标准化。本次调查显示, 除了内蒙古自治区、宁夏回族自治区和陕西省的试点承担单位没有开展数据质量控制外, 其他9个试点均开展了不同程度的控制工作。
3 问题建议
3.1 在数据库建设中存在的问题和建议
本次调查情况显示, 各试点在数据库建设中的问题是多方面和多角度的, 主要包括:在各地的数据库建设中, 缺乏科学统一的数据库建设规范;信息服务效果还有待提高, 数据资源建设在内容上缺乏针对性, 数据资源具有地域性问题和个性化问题, 数据库检索方式与农民应用还有距离;数据来源主要有无偿提供、互相交换和购买3种方式, 但没有成型的规范进行相关行业之间数据交换等, 采取什么样的运行机制来保证数据服务的质量和长效运行也是目前亟待解决的问题;数据资源分类中的分级层次问题[6];各部门之间重复建设现场普遍, 存在部分冗余数据和时效性差数据;资金相对短缺, 无法在数据库建设上投入更多的经费;数据的质量控制依赖人工, 效率低下, 由于工作人员的水平参差不齐, 导致数据的质量很难达到一个相对稳定的较高水平。
因此, 需要发挥政府的主导作用, 由科技部门牵头, 各部门参与, 建立数据整合协调机制, 从而更好地服务于农牧民;建立专项资金, 用于数据库建设和运行费用, 形成因地制宜、共性统一和特色兼顾的共享数据库建设规范[7]。数据库的建设按照“边建设、边服务”的原则, 定期开展相关人员的交流沟通, 及早发挥经济效益和社会效益, 从政策、项目和资金等方面支持鼓励各部门积极示范, 探索适合当地数据库建设的各种运行模式。
3.2对于制定全国统一的“星火科技12396”数据库标准规范的意见和建议
针对制定全国统一的“星火科技12396”数据库标准规范, 12个试点承担单位主要提出了以下意见和建议:在标准规范的制定过程中, 可先推出试行版本供各试点单位参照执行, 一是在试行期内逐步进行完善, 直至推出正式成熟的标准规范;二是建立农业相关数据规范与分类体系时应充分考虑到农业的地域性差别, 南北方差别较大;三是整合资源, 互连互通, 一方面要保证社会公益事业, 实现与全社会的资源共享, 另一方面要正确处理投入和市场的关系, 引入市场机制, 实行市场化运作, 因地制宜, 形成若干个有特色的资源开发基地, 形成良性循环的机制。在数据库选型、数据格式和著录标引等方面建立统一的标准规范, 制定和遵循有利于长远发展的标准, 形成数据库建设的专项资金支持, 从而保证在全国统一的“星火科技12396”数据库标准规范的基础上, 充分发挥各地的积极性, 充实完善数据库, 确保最终的数据服务能真正为农牧民获得实惠和增加收入。
摘要:汇总统计12个试点省份信息服务方面的反馈信息, 制定试点需求分析业务流程, 并综合分析试点数据库环境、数据库元数据、数据采集与更新、数据分类与编码、数据存储和数据库结构以及数据质量控制等情况, 总结出在信息服务过程中遇到的问题, 对“星火科技12396”的长远发展提出了几点建议, 从而为我国社会主义新农村信息化建设提供智力支持。
关键词:信息服务,数据库,“星火科技12396”
参考文献
[1]科技部.全国统一星火科技信息服务号码12396开通[EB/OL]. (2008-07-22) .http://www.most.gov.cn/tpxw/200807/t20080722_63199.htm.
[2]杨宝祝, 吴建伟.农村资源环境数据库研究[J].农业网络信息, 2007 (12) :91-93.
[3]王丹, 王文生, 刘俊华, 等.基于农村科技数据共享的元数据应用研究[J].农业网络信息, 2004 (9) :31-33.
[4]张晓林.元数据研究与应用[M].北京:北京图书馆出版社, 2002.
[5]郭书普.网络农业信息分类和编码的研究[J].农业图书情报学刊, 2003 (6) :139-141.
关 键 词: 商业银行;信息科技;风险管理
中图分类号: F830.33 文献标识码:A 文章编号:1006-3544(2013)05-0031-02
一、商业银行信息科技风险
在信息技术与银行业务深度融合的今天,信息科技风险事件往往涉及范围广、客户多、金额大,在给银行造成经济损失的同时,也会带来很大的声誉损失。银监会前主席刘明康曾表示:“如果银行系统中断1小时,将直接影响该行的基本支付业务;中断1天,将对其声誉造成极大伤害;中断2~3天以上不能恢复,将直接危及其他银行乃至整个金融系统的稳定。”因此,可以毫不夸张地说信息科技安全运行和健康发展是银行业务正常开展的重要保障和基本前提, 关乎银行声誉、金融安全和社会稳定。表1显示了近年来商业银行发生的几起典型信息科技风险事件。
根据中国银监会发布的《商业银行信息科技风险管理指引》,信息科技风险是指信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。在巴塞尔新资本协议体系中,信息科技风险被视为操作风险的一种。它具有区别于一般操作风险的特殊性:(1)风险因素复杂,大量使用外包和新技术使得风险控制的复杂度大幅提高。(2)潜伏性、偶发性和不确定性突出。比如,通过充分风险论证的生产系统,短期内无风险隐患,而随着生产环境的压力逐步扩大, 系统的脆弱性就会逐步暴露;一个具有很高安全性的电子银行,随着病毒的不断变种,黑客技术的提高,新的安全问题就会出现。(3)信息科技风险一般不直接造成经济损失,其造成的间接损失难以计量且极可能引发声誉风险。(4)影响范围广。单个信息系统的故障就可能影响银行多项业务。 在银行数据大集中的形势和背景下,信息科技风险也趋于集中,成为惟一能使银行瞬间瘫痪的风险。
从国内的监管导向看,笔者认为信息科技风险管理有两个重要的目标:一是保证银行业务的稳定和连续;二是保护客户信息安全。如果不能实现这两个目标,则可能引发直接或间接的经济损失以及声誉风险和法律风险。
二、信息科技风险的影响因素
从前述信息科技风险管理的两个目标出发,可以通过分析影响目标实现的因素来了解引致信息科技风险的原因。影响银行业务的稳定和连续的因素主要有软硬件故障、人员误操作、关键人员离岗、系统超负荷运行、网络瘫痪、电力中断、病毒传播、应用系统及版本出现异常、数据缺失或丢失、外包服务不到位、自然灾害或人为损坏设备、缺少业务连续性计划、灾备基础设施不健全、日常应急演练不充分,等等。影响客户信息安全的因素主要有内部人员利用流程、权限漏洞盗用客户数据;外部人员运用技术手段侵入系统盗用客户信息;内外勾结盗用客户信息、外包服务商泄密等等。
以上这些因素在巴塞尔新资本协议中也有相关的描述。巴塞尔新资本协议对操作风险的损失事件形态分为7个类型,吴博(2010)将其中与信息科技风险的损失事件有关的三个类型整理后大致覆盖了引发信息科技风险的因素,见表2。
当然,上述这些影响信息科技风险管理目标实现的因素仍只是引发信息科技风险的中间变量,其本身也可被视作信息科技风险的表现形式。透过这些表现可以很容易发现管理不到位才是导致信息科技风险的最根本原因。
从实践来看,近年来信息科技快速发展有力支持了商业银行各项业务的快速扩张。但同时,管理、运行维护跟不上的矛盾也日渐突出,“重建设、轻管理、重开发、轻运维”的现象较为普遍。有监管部门研究表明,近年来发生的信息科技风险事件中,多数事件发生都源于制度不健全、流程不完善、落实不到位,很少有纯粹技术原因引发的事件。因此,可以说管理到位是防范信息科技风险的关键。
三、信息科技风险管理措施
信息科技风险管理应贯穿于信息科技工作的全流程,涉及到信息科技风险管理的“三道防线”,需要由信息科技部门和各业务部门共同完成。具体管理措施如下:
1. 完善风险治理架构,各司其职。构建和完善信息科技风险管理的三大防线,即信息科技管理、信息科技风险管理、信息科技风险审计,从三个不同角度、不同纬度,对风险进行立体防控。需要注意的是三大防线的安排不应是简单的对应信息科技风险管理的事前、事中、事后三阶段,风险管理部门、审计部门应积极参与到业务连续性计划制定、应急演练、系统开发、外包管理等信息科技日常风险管理工作中,实现风险管理的前移。
2. 健全管理制度体系,重在执行。建立、健全信息科技管理制度和业务操作流程并认真执行。制度建设要从新产品上线或新系统投产前开始,要建立完善的上线或投产方案以及上线或投产后相关的管理制度和业务流程,并制定回退机制或应急预案以应对意外情况。同时,要积极研究各类信息安全风险案例,总结归纳新的风险点,有针对性地完善制度。要建立制度执行的监督评价机制,商业银行的董事会、监事会、高级管理层以及审计部门要切实监督评价信息科技各项制度的执行情况,对制度执行不到位的责任人要进行问责或处罚。
3. 合理规划系统资源, 未雨绸缪。(1) 纵向规划发展进度。在系统规划设计阶段就要评估能否满足未来较长时间的业务需求,合理安排系统升级、版本切换等工作。(2)横向匹配系统资源。在系统资源短期内不变的情况下,合理分配资源,通过系統分级,将资源优先分配给等级高的系统以保障重要系统的稳健运行。
4. 密切监测系统运行,防患未然。通过技术平台对信息系统的运行状况进行全程监控。一、二级骨干网是否畅通、网点终端和自助设备是否运行正常、应用系统是否正常服务、是否有异常交易、网络是否遭到非法入侵等,都必须纳入实时监控范围,以确保在第一时间发现问题和风险点,及时采取应对措施,防患于未然。
5. 落实业务连续计划,加强演练。要在全行层面建立和完善可操作性强、覆盖各信息科技系统的业务连续性计划和应急预案,包括业务恢复机制、风险化解和转移措施、数据备份以及应对媒体的统一策略等。针对新发生的突发事件以及新发现的薄弱环节,要及时对预案进行总结更新。加强应急预案演练,以保障银行在突发重大事件面前,能从容应对,迅速恢复生产运营,尽可能降低损失。
6. 推进科技队伍建设,提升能力。首先,要明确岗位职责,因岗定人,岗位匹配,并落实岗位制衡。其次,要完善激励约束机制,以激发员工的主观能动性,并使科技队伍保持基本稳定。最后,要加强培训,培养员工风险防范意识和风险防范能力,提高员工的信息科技业务水平。
中国农业发展银行总行营运中心 李小庆
信息科技风险治理的主要目标是为了采取一定的有效措施,规避信息科技风险带来的损失,同时需要平衡信息科技风险防控所收获的价值和开展信息科技风险防控活动所需的成本。257 信息化建设一直是现代银行发展战略的重要组成部分。最近十年,银行信息化建设一直在高速向前发展。随着数据大集中工程的启动及完成,银行信息化从信息基础设施到业务系统的建设,都取得了较为明显的成效,信息化总体架构已经成熟,各类业务应用系统已经初具规模。各类信息系统已经成为银行提供客户服务、获取市场价值、培育核心竞争力的重要途径。
但是,随着银行信息化规模的日益扩大,信息科技风险的防控及治理始终是银行信息化建设和管理的薄弱环节。2009年,银监会发布《商业银行信息科技风险治理指引》(以下简称《指引》),从信息安全、信息系统开发和信息科技运行等多个层面对信息科技风险治理进行了清晰规定。从《指引》中,我们可以解读到,信息科技风险治理是以可接受的成本识别、控制、降低可能影响信息系统风险的过程,通过风险识别,制定信息科技风险治理策略,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降低到一个可以被接受的水平,同时考虑控制费用与风险之间的平衡。信息科技风险治理体系主要包含信息科技风险识别、分析与评价,信息科技风险的计量,信息科技的治理思路和控制措施。
一、信息科技风险识别、分析与评价
信息科技风险治理的主要目标是在可接受成本的范围内,分析信息系统面临的潜在风险,并采取一定措施控制和防御风险的过程。风险识别是指对组成信息科技风险因素在系统中潜在可能性认识的过程,风险分析是指系统化地识别和分析风险来源和风险类型,风险评价是指按组织制定的风险标准计算风险水平,确定风险严重性。
1.风险识别
信息科技风险的组成因素,一般包含价值信息资产、信息资产面临的威胁、信息资产的脆弱性等。信息资产是对组织具有价值的信息资源,是风险控制措施保护的对象。信息资产面临的威胁是可能对信息资产或组织造成损害的潜在因素。信息资产脆弱性是信息资产可能被威胁利用的弱点。风险识别是对信息系统和信息基础设施的威胁、脆弱性和风险的识别,它包含以下元素:被特定威胁利用的信息资产的一种或一组脆弱性,导致信息资产丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的集合。风险识别过程是综合分析信息科技风险各组成因素,包含信息资产的价值、对信息资产的威胁和威胁发生的可能性、信息资产脆弱性、现有的风险控制提供的保护等,从而导出风险的过程。银行对信息科技风险一般具有偏好性考虑,其结果受到业务需求及战略目标、文化、业务流程、风险要求、信息规模和结构的影响,因此在风险识别实施前,应确定风险识别的范围和目标,建立适当的组织结构,建立系统化的风险识别方法,获得管理者对风险识别工作的批准。
2.风险分析
在进行风险识别之后,必须就各项风险对整个信息系统的影响程度做一些分析和评价,通常这些评价建立在以特性为依据的判断和以数据统计为依据的研究上。风险分析的方法非常多,一般采用统计学范畴内的概率、分布频率、平均数、众数等方法。但无论是哪一种工具,都各有长短,而且不可避免地会受到分析者的主观影响。可以通过多维度、多人员分析或者采取头脑风暴法等尽可能避免。此外,应当明确,风险是一种变化着的事物,基于这种易变条件上的预测和分析,是不可能做到十分精确和可靠的。所有的风险分析都只有一个目的,即尽量为避免信息系统提供的服务失控和为具体的信息系统开发和运行中突发问题预留足够的后备措施和缓冲空间。
3.风险评价
信息科技风险评价方法有两种:定量方法和定性方法。定量分析是试图从财务价值上对构成风险的信息资产的各项要素进行量化分析评价的一种方法,由于定量分析所依赖的数据的可靠性和有效性很难保证,加之对数据统计缺乏长期性,所以,定量分析方法在银行信息科技风险评价中并不常用,取而代之的是更容易实施的定性分析方法。
定性风险评价并不强求对构成风险的各个要素进行精确的量化评价,它有赖于评价者的经验判断、业界惯例以及组织自身定义的标准,来对风险要素进行相对的等级分化,最终得出的风险大小,只需要通过等级差别来分出优先顺序即可。事实上,银行最关心的是业务活动的持续性,对于影响业务活动持续性的各种风险问题,在有限的资源支持情况下,只需要抓住最突出的问题,有针对性地采取措施即可。
二、信息科技风险计量方法
风险计量是在风险识别的基础上,根据信息科技风险组成要素的相关属性进行赋值,进行综合计算最终获得信息科技风险值。信息资产的属性主要是资产价值,威胁的属性主要是威胁主体、影响程度、影响范围等,脆弱性的属性主要是信息资产缺陷的严重程度。风险计量的主要内容是对信息资产进行识别,并对信息资产的价值进行赋值;对威胁进行识别,描述威胁的属性,并对威胁潜在影响程度赋值;对信息资产的脆弱性进行识别,并对具体信息资产的脆弱性的严重程度赋值。风险计量原理如图1所示,具体计量方法进行如下介绍。
1.信息资产风险的计量
信息资产是指任何对银行具有价值的信息资产,包括计算机硬件、通信设施、机房、数据库、文档信息、软件、信息服务和人员等,所有这些信息资产都需要妥善保护。为了进一步定义其价值,一般需将其分类,除一般认可的软件、硬件、数据信息资产外,还需增加人员、服务等项目,在此基础上可进一步细分,以达到精细化管理的要求。对细分后的信息资产,需定义其价值。这里所讲的价值并不是财物价格,而是从信息科技风险的角度,即机密性、完整性、可用性的价值取值。如果采取三级分类法对信息资产进行划分,分类标准参照如下。
(1)关键信息资产:从保密性而言,对应为机密级,涵盖重要的信息、信息处理设施和系统资源,只能给少数必须知道者(特定的任务群体),一旦泄漏,会造成严重的损害(部门或特定范围)。
(2)重要信息资产:从保密性而言,对应为秘密级,涵盖一般性的商业秘密,泄漏后会造成一定的损害,但不会造成重大的影响与损失。未经授权的更改、破坏或误操作对信息系统造成一定的影响,或给业务带来明显冲击。
(3)普通信息资产:并非敏感信息,主要限于内部使用。一旦泄漏,并不会造成显著的影响。很难采用精确的财务方式来给信息资产确定价值,一般采用定性的方式来建立信息资产的价值或重要度,即按照事先确定的价值尺度将信息资产的价值划分为不同等级。经过信息资产识别与估价后,组织应根据信息资产价值的大小进一步确定需要保护的关键信息资产。
2.威胁风险的计量
威胁风险的计量用以评价威胁发生时对信息资产造成的潜在影响或后果,威胁一般能对信息基础设施进行损坏,还有可能导致信息泄密,或信息完整性和可用性受损,信息服务质量下降,严重的甚至可能造成信息系统崩溃、信息服务中断,直接影响银行的经营利润和声誉风险。不同的威胁可能对银行及其信息资产的影响程度不尽相同,其导致的价值损失可能也不一样,威胁的可能性可以采取资产的相对价值的损失度来衡量,资产的相对价值是通过折旧损耗之后资产的现值,价值损失度表示当信息资产遭遇威胁攻击之后,信息资产及信息服务质量遭受损失的程度。威胁的可能性一般可分为三级,取值标准如下。
(1)高:在业务活动持续期间,威胁发生后,会对资产的相对价值造成全部损失或巨大损失。
(2)中:在业务活动持续期间,威胁发生后,会对资产的相对价值造成中度损失或局部损失。
(3)低:在业务活动持续期间,威胁发生后,会对资产的相对价值造成轻微损失或零损失。
3.脆弱性风险的计量
由于组织、人员、管理、技术、流程、信息资产本身的缺陷,导致信息资产和信息基础设施在某些方向存在一定的脆弱性,这些脆弱性在信息系统连续运行的过程中,当遇到某种环境或某类事件时,就会被激发或体现出来,它可能导致信息资产直接受损或信息系统运行质量下降,同时还有可能被某种威胁利用,导致较为严重的后果。因此,应该针对每一项需要保护的信息资产,分析其脆弱性存在的地方及严重程度,评价由于其脆弱性的存在,当意外事件或威胁发生时,会给银行带来的直接或间接的损失或伤害。信息资产脆弱性一般分为三级,取值标准如下。
(1)高:当有意外事件或脆弱性被威胁利用,会造成存在此脆弱性的信息资产立即停止为相关业务提供服务。
(2)中:当有意外事件或脆弱性被威胁利用,会造成存在此脆弱性的信息资产降低为相关业务提供服务的效率,但服务仍可继续。
(3)低:当有意外事件或脆弱性被威胁利用,会造成存在此脆弱性的信息资产对继续为相关业务提供服务没有影响。
最终每项信息资产的风险状况可用以下方法简单计算得到:
风险值=信息资产价值*威胁可能性*弱点严重性
资产价值、威胁可能性、脆弱性严重性采用三级分类,其低、中、高取值分别为1、2、3,资产的风险值则有1、2、3、4、6、8、9、12、18、27等结果。我们可以定义风险值在l至9的资产为低风险资产,风险值12至18为中等风险资产,风险值27为高风险资产。银行可根据自己的风险偏好,确定可接受的风险程度,如低风险可接受,而中高风险不可接受,然后对不可接受风险采取相应的控制措施。通过降低风险发生的可能性,确保信息资产的残余风险控制在银行可接受的范围内。
三、银行信息科技风治理思路
按照国际信息系统审计与控制协会ISACA的观点,信息科技风险治理是一个由各类信息关系和信息科技风险治理活动过程组成的治理结构,用以指导、分析和控制信息科技风险。信息科技风险治理的主要目标是为了采取一定的有效措施,规避信息科技风险带来的损失,同时需要平衡信息科技风险防控所收获的价值和开展信息科技风险防控活动所需的成本。因此,不仅仅要从技术层面规避风险,同时要从流程、技术、人员三个不可分离的层面来从事信息科技风险的管理工作。目前在信息科技风险管控方面,银行还需满足外部监管部门的要求,从而避免给银行带来更大的合规风险。
1.提出信息科技风险治理需求
信息科技风险是信息系统各组成要件在履行其应用功能过程中,在完整性、可用性、抗否认性和机密性等方面存在的脆弱性,以及信息系统内部或外部的人们利用这些脆弱性可能产生的违背信息系统所属组织风险管理意志的行为及其后果。信息科技风险治理需求则是对抗和消除信息科技风险治理风险的必要}生和可行陛,它是制定和实施信息科技风险治理策略的起点和依据。在制定信息科技风险治理策略前,首先需要进行信息科技风险治理风险识别,充分分析信息科技风险治理需求。为此,银行需要详细分析银行信息系统的构成,所要保护的信息系统资源类别,以及对攻击者攻击目的、技术手段和造成的后果的假设,兼顾所受到的已知的、可能的和与该系统有关的威胁,以及构成信息系统各部件的缺陷和隐患共同形成的风险等,从而提出信息科技风险治理需求。
2.确定信息科技风险治理策略
信息科技风险治理需求转变为信息科技风险治理策略主要把握三个平衡标准:一是能够采取一定的方法将信息科技风险降到可以接受的程度;二是潜在的信息科技风险的威胁随时有可能对现有信息资产的价值进行催毁或造成较大程度的损失;三是银行自身的合规建设和外部监管部门的合规要求。
一个较好的信息科技风险治理策略,应该最大限度地按照信息科技风险治理等级保护要求对信息资产的脆弱性进行保护,对信息资产面临的威胁进行防控、规避或消除,能够体现系统资源拥有者和管理者的信息科技风险治理意志和思路,保证攻击信息系统所花的代价远远大于获取信息资产的现值和潜在价值。同时,信息科技风险治理策略应尽可能地制约所预见的系统风险及其变化,并在维持“风险一信息科技风险治理一投资”关系中具有持续平衡能力。
3.建立信息科技风险治理体系
将信息科技风险治理策略付诸实施的关键,是建立起符合银行实际的保障信息资产的信息科技风险治理组织体系、管理体系和技术体系,从而在管理和技术上保证信息科技风险治理策略得以完整准确地实现,全面准确地满足信息科技风险治理需求。其中,组织体系是信息系统信息科技风险治理的组织保障,由人、岗位和人事管理机构三部分组成;管理体系是信息科技风险治理的灵魂,由法律管理、制度管理、培训和管理四部分组成,信息科技风险治理需求分析和信息科技风险治理策略制定是其关键内容;技术体系是全面提供信息科技风险治理保护的技术保障系统,包括确定必需的信息科技风险治理服务、信息科技风险治理机制和技术管理以及它们在信息系统上的合理部署和配置。
四、信息科技风险防控方法
通过对银行信息科技治理、全面的信息科技项目风险管理、信息系统开发、维护、运行管理、信息风险体系的建立、银行业务连续性管理、技术外包管理、内部和外部审计等几方面结合,具体论述银行各类信息科技风险的防控策略和建立一体化防控机制的措施,通过建立有效的防控机制,实现对银行信息科技风险的识别、计量、评价和控制,提供风险预警,增强银行的核心竞争力和可持续发展的能力。
1.建立信息科技风险治理的决策议事机构
在银行风险管理委员会和信息化委员会的基础上,在其下面建立信息科技风险治理的议事决策机构——信息科技风险管理分委会,信息科技风险管理分委会由银行的最高管理层及与信息科技风险治理有关的部门负责人、管理技术人员组成,定期召开会议,并就以下重要信息科技风险治理议题进行讨论并做出决策,为银行信息科技风险治理提供导向与支持:评审和审批信息科技风险治理策略;分配信息科技风险治理职责;确认风险评价的结果;对与信息科技风险治理有关的重大更改事项,如组织机构调整、信息系统更改等进行决策;评审和监测信息科技风险治理事故;审批与信息科技风险治理有关的其他重要事项。
2.明确信息科技风险治理的职责和流程
职责缺乏或界定不清,最终导致信息科技风险控制得不到有效的实施,形成管理风险。银行最高管理者应确保对以下信息科技风险治理职责进行规定并形成书面文件:管理层职责,部门职责;在管理层指定一名信息科技风险治理经理,分管银行信息科技风险治理事宜,负责银行的信息科技风险治理方针的贯彻与落实,就信息科技风险治理的效果与有关重大问题及时与最高管理者进行沟通。确定与信息科技风险治理有关的管理、操作、验证等人员的职责;基本原则就是告知管理层和员工信息科技风险治理时的行为和方法,特别是在信息科技风险治理通常不被重视的地方。
3.建立信息系统的安全等级保护机制
银行需要按照国家及监管部门有关等级保护的管理规范和技术标准开展等级保护工作,建设风险设施、建立风险制度、落实风险责任,接受公安机关、保密部门对信息系统安全等级保护工作的监督、指导,保障信息系统风险。信息系统安全等级保护工作的原则为:对照标准定级,各信息系统风险保护等级的确定须对照监管部门或总行关于等级划分和定级的标准来确定;分级实施保护,根据确定的信息系统风险保护等级,按照相关的法规和标准,分级别实施不同强度的风险保护;建设保护同步,信息系统在新建、改建、扩建时须同步规划和设计风险方案,并组织实施;等级动态调整.信息系统的功能和系统架构发生重大变化的,须重新进行等级确定并实施风险保护。
4.加强与其他关联组织间的协作
信息科技发展日新月异,信息安全产品与技术不断翻新,信息安全威胁的手段与种类也在不断地变化。因此,对于外行来说,信息科技风险治理的某些方面是复杂的和困难的,对内行来说,同样也是复杂的和困难的。银行可通过各种方式,获取信息科技风险治理方面的建议以支持信息科技风险治理。与信息科技风险治理有关的国家管理机关有公安部、国家安全局、信息产业部等,银行在遵守信息科技风险治理法律法规的方面,应服从与信息科技风险治理有关的国家执法机构、人民银行和银监会的管理和指导。银行有必要保持和它们以及同业银行、信息服务供应商、电信运营商的适当联系,以确保在出现风险事故时尽快采取适当的行动和获得建议。但在进行风险信息的交流时,要防止银行的机密信息传给未经授权的人。
5.对信息科技风险治理工作进行独立评审
(征求意见稿)第一章 总 则
第一条 为提高村镇银行信息科技建设及管理水平,有效防范信息科技风险,促进村镇银行持续、稳健发展,根据《中华人民共和国银行业监督管理法》、《中华人民共和国商业银行法》等法律法规,参照《商业银行信息科技风险管理指引》要求,制定本指引。
第二条 本指引适用于在中华人民共和国境内依法设立的村镇银行,村镇银行主发起行(以下简称主发起行)及承担村镇银行信息科技工作的银行业金融机构。
第三条 村镇银行信息科技工作目标是通过建立有效的管理机制,科学开展信息科技建设,加强信息科技风险管控,确保信息科技工作目标与业务发展目标一致,增强核心竞争力,促进村镇银行安全、持续、稳健发展。
第四条 村镇银行信息科技工作的基本原则是:
(一)发展为本:信息科技工作以支持村镇银行业务健康发展为根本要求;
(二)风险可控:积极采取措施,防范系统中断、敏感信息泄露和资金损失等风险;
(三)资源共享:信息科技工作应统筹规划、适度集中、节约高效,合理利用信息科技资源。
第五条 根据信息科技工作的责任主体不同,村镇银行信息科技管理分为自主管理和主发起行管理两种模式。自主管理是指村镇银行独立承担信息科技规划、建设、运维、风险管理和审计等责任的管理模式,主发起行管理是指村镇银行将信息科技工作委托给主发起行并由其承担村镇银行信息科技规划、建设、运维、风险管理和审计等责任的管理模式。
第六条 本指引所称同业机构是指中国银行业监督管理委员会(以下简称中国银监会)监管的银行业金融机构。
第七条 本指引所称同业合作是指村镇银行或主发起行将原本由自身完成的信息科技工作委托给同业机构进行持续处理的行为。
第八条 本指引所称信息科技外包是指村镇银行或主发起行将原本由自身完成的信息科技工作委托给同业机构以外的其它机构进行持续处理的行为。
第九条 村镇银行应根据本行市场定位和业务发展战略,结合本行管理水平和技术能力,自主确定本行信息科技管理模式,并履行本指引第二章关于不同模式下信息科技治理的要求,积极采用自建、同业合作或外包的方式开展信息科技工作。
第二章信息科技治理 第一节自主管理模式
第十条 村镇银行法定代表人对村镇银行信息科技工作负最终责任。
第十一条 村镇银行董事会应履行以下职责,不设董事会的,应设立由高级管理层组成的组织机构(以下简称履职机构)履行下述职责:
(一)负责审批信息科技战略规划,确保与本行的总体发展战略相一致;
(二)负责建立适合业务发展的信息科技治理架构,确保责任明确、分工合理;
(三)为信息科技工作的开展提供资源保障;(四)建立信息科技工作激励和考核机制;
(五)掌握主要的信息科技风险,确保可接受的风险级别;(六)确保信息科技审计独立有效开展;
(七)贯彻有关信息科技工作的法律法规,落实中国银监会及其派出机构监管要求;
(八)向中国银监会及其派出机构报告本行重大信息科技突发事件。
第十二条 村镇银行高级管理层应履行以下职责:(一)组织制定信息科技战略规划;
(二)建立信息科技部门或指派一个部门,承担本行信息科技工作职责,确保履行:信息科技预算和支出、信息科技策略、标准和流程、信息科技项目研发和运行管理、信息安全管理、灾难恢复计划、信息科技外包等职责。
(三)负责对信息科技工作中的重大事项进行决策;(四)组织开展信息科技建设,建立信息科技工作制度和流程;
(五)组织评估本行信息科技风险并采取相应的风险控制措施;
(六)组织开展信息科技专业培训,开展信息科技人才队伍建设;
(七)向董事会或履职机构报告本行重大信息科技突发事件。第十三条 村镇银行应将信息科技风险纳入全面风险管理框架,明确信息科技风险管理工作的主管部门,建立与业务发展规划、经营目标、管理职责相适应的信息科技风险管理策略,有效识别、计量、监测和控制信息科技风险。
第十四条 村镇银行应定期开展信息科技审计,至少每三年覆盖全部信息科技风险领域,并根据审计结果及时整改。第十五条 主发起行应发挥自身在信息科技工作方面的经验与优势,对村镇银行的信息科技工作进行指导和帮助,并履行以下职责:
(一)协助村镇银行制定信息科技战略规划;
(二)为村镇银行信息科技重大事项和决策提供专业建议;(三)协助村镇银行开展信息科技建设及风险管理;(四)指导村镇银行落实本指引第三、四、五章中对于村镇银行的监管要求。
第二节主发起行管理模式
第十六条 主发起行法定代表人对村镇银行信息科技工作负最终责任。
第十七条 主发起行董事会应履行以下职责:(一)审批村镇银行信息科技战略规划;
(二)负责建立与村镇银行规模、业务相适应的信息科技治理架构;
(三)为村镇银行信息科技工作的开展提供资源保障。(四)建立村镇银行信息科技工作激励和考核机制;(五)掌握主要的信息科技风险,确保可接受的风险级别;(六)确保村镇银行信息科技审计独立有效;(七)贯彻有关村镇银行信息科技工作的法律法规,落实中国银监会及其派出机构监管要求;
(八)向中国银监会及其派出机构报告村镇银行重大信息科技突发事件。
第十八条 主发起行应设立一个由主发起行高级管理层、多家村镇银行的高级管理层代表,及主发起行负责村镇银行业务、科技管理等部门组成的村镇银行信息科技管理委员会,并履行以下职责:
(一)组织协商制定村镇银行信息科技战略规划;
(二)负责村镇银行信息科技重大事项的决策,组织开展村镇银行信息科技建设,建立村镇银行信息科技工作制度和流程;
(三)组织评估村镇银行信息科技风险并采取相应的风险控制措施;
(四)定期听取村镇银行对主发起行信息科技工作情况的反馈,持续改进村镇银行信息科技服务;
(五)向主发起行董事会报告、向村镇银行董事会或履职机构通报村镇银行重大信息科技突发事件。
第十九条 主发起行应建立村镇银行信息科技工作组织体系,包括:
(一)指派一个部门负责主发起行与村镇银行的信息科技工作统筹协调。(二)设立或指派一个部门负责村镇银行信息科技工作,建立独立的团队负责村镇银行信息系统建设和运行维护;
(三)设立或指派一个部门负责村镇银行信息科技风险管理工作;
(四)主发起行审计部门负责村镇银行信息科技审计工作。第二十条 主发起行应落实本指引第三章中对于村镇银行的监管要求。
第二十一条 主发起行应建立与村镇银行业务发展规划、经营目标、管理职责相适应的信息科技风险管理策略,有效识别、计量、监测和控制信息科技风险。
第二十二条 主发起行应定期开展村镇银行信息科技审计,至少每三年覆盖全部信息科技风险领域,并根据审计结果及时整改。
第二十三条 主发起行应本着“成立初期免费、发展时期减免、成熟稳定时期保本”的原则,建立对村镇银行信息科技服务的收费机制。
第二十四条 村镇银行应积极参加信息科技战略规划、建设和风险管理工作,落实主发起行对村镇银行信息科技工作的要求,配合主发起行对村镇银行的信息科技审计,定期对主发起行承担的村镇银行信息科技工作进行评价,并向村镇银行信息科技管理委员会反馈评价结果。第二十五条 村镇银行与主发起行应签订信息科技工作委托协议,委托协议应包括但不限于:
(一)主发起行和村镇银行分别承担的村镇银行信息科技管理责任、权利和义务;
(二)主发起行承担的村镇银行信息科技工作内容;(三)对村镇银行客户信息的保密要求;(四)村镇银行信息科技突发事件应急机制;(五)协议变更流程;(六)协议的有效期限。
第二十六条 村镇银行主发起行为农村商业银行、农村合作银行或农村信用社的,且主发起行重要信息系统在本省农村信用联社集中运行的,村镇银行可将信息科技工作委托给省农村信用联社,由省农村信用联社履行主发起行管理责任。
第三章信息科技建设与管理
第二十七条 村镇银行应制定符合总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划,确保配置足够人力、财力资源,维持稳定、安全的信息科技环境。制定信息科技架构,确定信息系统和基础设施整体框架,保持前瞻性、可扩展性和灵活性,并定期评估。
第二十八条 村镇银行信息系统应满足以下要求:(一)具备有效支持各项银行业务开展所需的功能,满足村镇银行发行银行卡、建立支付结算渠道、发展电子银行业务、创新金融产品等需求;
(二)具备与业务处理要求相匹配的良好性能;
(三)应避免使用技术落后、不适应业务发展和风险管理需要的信息系统;
(四)对于现代化支付、银行卡联网、征信等系统,原则上应实现信息系统集中接入和集约管理。
第二十九条 村镇银行的信息科技基础设施应满足以下要求:
(一)信息科技基础设施建设应遵循资源共享、标准统一、安全可靠、便于管理的原则,满足可扩展性、易维护性的要求,为各类信息科技应用提供支持和服务;
(二)机房建设应满足《电子信息系统机房设计规范》(GB50174-2008)要求,信息系统运行所依托的数据中心至少应达到B级标准,承担超过30家(含)村镇银行信息系统运行的,所依托的数据中心应达到A级标准;
(三)机房供电、空调、主机、存储和网络等关键基础设施设备实现冗余配置,避免发生单点故障;
(四)承担超过30家(含)村镇银行信息系统运行或所承担村镇银行资产总量超过300亿元(含)的,应建立重要信息系统同城实时数据级备份中心,并实现RPO不超过24小时的远程数据备份。第三十条 村镇银行应建立完善的信息科技管理制度和工作规范,包括项目管理、系统开发运行管理、安全管理、数据管理、应急管理、外包管理、风险及审计管理。
第三十一条 村镇银行应建立信息系统开发、运行管理流程,涵盖需求管理、开发管理、测试管理、验收管理、问题管理和变更管理等内容,包括:
(一)建立需求管理机制,涵盖需求风险分析和可行性研究,确保需求合理、准确;
(二)建立系统化的开发、测试方法和流程,包括需求分析、设计、编码、测试、评审、发版等环节;
(三)严格管控信息系统投产上线,上线前应有完备的上线方案和回退方案,上线过程应进行记录和跟踪,投产后应做好系统验收,包括系统功能、性能、安全、文档等;
(四)建立事件管理流程,快速响应系统运行事件、修复故障,及时恢复系统运行,并深入分析问题根源,防范事件再次发生;
(五)建立配置管理流程,及时更新数据中心基础设施和重要信息系统的配置信息,支持变更风险评估、变更实施、故障事件排查、问题分析等服务管理流程;
(六)建立变更管理流程,包括提出、审核、实施、记录等环节,确保信息系统可靠性、可维护性和可追溯性。变更前需进行备份,变更实施需双人操作。信息系统变更应经村镇银行信息科技管理部门确认后方可实施。第三十二条 村镇银行应建立信息安全管理机制,涵盖物理安全、网络安全、系统安全、加密技术、日志管理等内容,包括:
(一)明确机房物理安全区域,规范区域访问管理,控制未授权访问风险;
(二)划分生产网络安全域,互联网和生产网应实现有效隔离,保障网络通信安全;
(三)建立信息系统访问控制和授权管理体系,根据最小授权原则配置不同用户的访问权限,严格管理高权限账号,规范系统普通账号和密码的创建、变更、删除等,防止非法访问;
(四)在生产数据采集、存储、传输等过程中应对密码等关键信息采取加密、校验等有效措施,确保该类信息安全,防止被篡改和窃取;
(五)村镇银行重要信息系统日志和交易日志、系统变更审批记录以及数据使用、变更、备份、销毁审批记录应保存完整,保留期限应符合审计要求。
第三十三条 村镇银行生产数据的所有权归村镇银行。村镇银行以外的单位未经授权,不得查询、使用、变更、销毁村镇银行生产数据。生产数据的管理规范包括:
(一)生产数据的查询、使用应遵循严格的审批和操作流程,经村镇银行数据管理部门负责人审批同意方可使用。开发测试等需要使用生产数据时,需对数据进行脱敏处理;(二)生产数据变更应遵循严格的审批和操作流程,经村镇银行高管层审批同意后,双人实施,并对变更结果进行确认;
(三)废弃生产数据应经审批后采用不可逆技术手段进行销毁处理,销毁工作由数据管理部门现场监督;
(四)生产数据至少每日进行备份,备份介质应异地保存,定期对备份数据进行恢复性测试,确保一致性和可用性;
(五)对于承担多家村镇银行信息系统运行的,应采取技术措施,确保村镇银行生产数据的保密性和完整性。
第三十四条 村镇银行应建立有效的应急管理体系,确保重要信息系统突发事件发生后快速恢复,降低或消除因重要信息系统服务中断造成的影响和损失。包括:
(一)建立应急管理组织机构,负责信息系统突发事件应急管理工作;
(二)制定信息系统突发事件应急预案,实施信息系统突发事件应急处置;
(三)定期组织信息系统应急演练,持续改进信息系统应急预案;
(四)将同业机构、重要外包服务提供商纳入应急管理。
第四章同业合作管理
第三十五条 村镇银行或主发起行应综合评估拟受托同业机构的行业经验、科技实力和管理能力等,遵循平等、自愿、诚信、互利的原则,委托同业机构承担村镇银行信息科技服务工作。可选择的受托同业机构包括:
(一)经中国银监会批准、在中华人民共和国境内设立、监管评级为二级(含)以上的银行业金融机构;
(二)省级农村信用社联合社(以下简称省联社),经中国银监会批准的主要从事银行IT系统、产品的开发和数据运营维护等业务的非银行金融机构。
第三十六条 村镇银行与受托同业机构应签订同业合作协议,在主发起行管理模式下,村镇银行、主发起行、受托同业机构应签订三方合作协议。同业合作协议应包括但不限于以下方面:
(一)各签约方的责任、权利和义务;(二)信息科技同业合作内容;(三)合规与内控要求;(四)服务连续性要求;(五)知识产权归属;
(六)与同业合作内容相适应的服务要求或服务水平条款;(七)同业合作评价与报告机制;
(八)受托同业机构在安全和保密方面的责任;(九)协议变更流程;(十)协议的有效期限。第三十七条 受托同业机构应建立有效的信息科技治理机制,对其承担的村镇银行信息科技工作负有科技风险管理责任,并配合村镇银行信息科技审计工作。
第三十八条 受托同业机构开展村镇银行信息科技建设与管理应遵照本指引第三章的要求。
第三十九条 各签约方应建立良好的沟通协调机制,应指定部门负责信息科技事项的沟通工作,确保信息科技服务及时、到位。
(一)村镇银行或主发起行应定期对受托同业机构的科技服务进行评价,并将评价结果反馈至受托同业机构,促进受托同业机构改进科技服务;
(二)受托同业机构应确保对村镇银行的信息科技服务水平,包括服务内容、服务流程、系统可用性、响应时间、故障解决率等量化的服务标准等方面;
(三)受托同业机构应建立对村镇银行或主发起行的回访机制,全面了解村镇银行的工作意见和建议,并根据回访情况制定整改措施。回访频率不低于每年一次。
第五章外包管理 第四十条 村镇银行或主发起行在开展村镇银行信息科技外包活动时,可参照《银行业金融机构信息科技外包风险管理指引》内容进行管理。
第四十一条 村镇银行或主发起行应建立信息科技外包管理制度及流程,有效管控信息科技外包风险。
第四十二条 村镇银行或主发起行应审慎开展村镇银行信息科技外包活动,信息科技外包前应进行全面的可行性分析,防范由于外包而引发的各类风险。可行性分析包括但不限于以下内容:
(一)拟外包工作对村镇银行业务发展及风险状况的影响;(二)对拟外包活动的控制能力;(三)拟外包活动对数据安全的影响;
(四)拟外包活动意外终止对村镇银行的影响;(五)中国银监会要求的其他事项。
第四十三条 村镇银行或主发起行实施外包服务项目前,应对服务提供商进行尽职调查。尽职调查内容包括但不限于:
(一)应当关注服务提供商的技术和行业经验,包括服务能力和支持技术、服务经验、服务人员技能、市场评价、监管评价等;
(二)应当关注服务提供商的内部控制和管理能力,包括内部控制机制和管理流程的完善程度、内部控制技术和工具等;(三)应当关注服务提供商的持续经营状况,包括从业时间、市场地位及发展趋势、资金的安全性、近期盈利情况等。第四十四条 在开展信息科技外包活动时,村镇银行或主发起行应避免选择存在下列情况的高风险外包服务提供商:
(一)影响国家安全和经济稳定;(二)违反相关法律、行政法规及规章;
(三)窃取、泄露银行业金融机构的敏感信息,并造成恶劣影响;
(四)外包服务过程中,服务态度恶劣、服务质量低下,且拒不按要求进行改进,并给多家银行业金融机构造成损失;
(五)由于外包服务提供商原因引发《商业银行业务连续性监管指引》中定义的重大(含)及以上运营中断事件,且未采取有效整改措施;
(六)外包服务提供商拒绝配合银行业金融机构向银行业监督管理机构提供村镇银行各类数据;
(七)中国银监会认定的“黑名单”服务提供商;(八)其他中国银监会认定的对银行业金融机构造成损失或带来恶劣影响的行为。
第四十五条 村镇银行或主发起行在实施外包服务项目前,应与服务提供商签订外包服务合同,外包服务合同中应明确以下内容:(一)服务范围、服务内容、工作时限及安排、责任分配、交付物要求以及后续合作中的相关限定条件;
(二)合规与内控要求,对法律法规及村镇银行内部管理制度的遵从要求、监管政策的通报贯彻机制、服务提供商的内控措施;
(三)服务连续性要求,服务提供商的业务连续性管理目标应当满足银行业金融机构业务连续性目标要求;
(四)村镇银行监控和检查的权力,以及服务提供商配合其内、外部审计机构和监管机构开展延伸检查的责任;
(五)政策或环境变化因素等在内的合同变更或终止的触发条件,以及合同变更或终止的过渡安排,包括信息、资料和设施的交接处置等过渡期间相关服务的安排;
(六)外包服务过程中产生、加工、交互的信息和知识产权的归属权以及允许服务提供商使用的内容及范围,对服务提供商使用合法软、硬件产品的要求;
(七)服务要求或服务水平条款,至少应包括如下内容:外包服务的关键要素、服务时效和可用性、数据的机密性和完整性要求、变更的控制、安全标准及业务连续性要求的遵守情况、技术支持水平等;
(八)报告条款,至少包括如下内容:常规报告内容和报告频度、突发事件时的报告路线、报告方式及时限要求;(九)安全及保密条款,包括服务提供商不得在合同允许范围外使用或者披露村镇银行信息,不得以村镇银行名义开展活动等;
(十)外包服务转包和变相转包禁止条款;(十一)其他应当明确的事项。
第四十六条 村镇银行或主发起行应与服务提供商签订服务水平协议,并按照服务水平协议要求提供相应的科技服务。服务水平协议应包括但不限于以下方面:
(一)明确的双方职责描述;(二)详细的服务内容描述;
(三)服务请求受理流程、故障报告流程等服务工作流程;(四)与外包服务相适应的服务水平指标;(五)服务质量评价与报告;(六)服务水平协议变更流程;
(七)服务水平协议的有效期限和具体条款的有效期限。第四十七条 在外包服务实施过程中,村镇银行或主发起行应当对服务提供商的财务、内控及安全管理进行持续监控,关注其因破产、兼并、关键人员流失、投入不足和管理不善等因素引发的财务状况恶化及内部管理混乱等情况,防范外包服务意外终止或服务质量的急剧下降。第四十八条 村镇银行或主发起行应将外包风险审计纳入信息科技审计范围,至少每三年对重要外包服务商进行一次全面审计。外包风险事件发生后,应及时开展专项审计。
第四十九条 村镇银行或主发起行应审慎选择注册地或数据中心在大陆以外地区的外包服务商,充分了解并持续监控服务提供商所在国家或地区的政治、经济和社会状况,详细分析国内外法律法规、监管要求差异,通过建立应急预案等措施防范国别风险。选择境外服务提供商实施外包项目,不应妨碍村镇银行外包服务监控管理职能及监管机构的延伸检查权。
第六章监督管理
第五十条 中国银监会及其派出机构依法对村镇银行信息科技工作实施非现场监管和现场检查。
第五十一条 村镇银行信息科技管理模式为自主管理的,由村镇银行属地监管机构履行信息科技监管职责;信息科技管理模式为主发起行管理的,由村镇银行主发起行属地监管机构履行信息科技监管职责,并联动村镇银行属地监管机构开展监管工作。第五十二条 村镇银行向中国银监会或派出机构提交开业行政许可申请时,应向属地监管机构报告其信息科技管理模式。采用主发起行管理模式的,主发起行应同时向主发起行属地监管机构报告。管理模式发生变更的,村镇银行及主发起行应于变更前40个工作日分别向属地监管机构报告。
第五十三条 信息科技管理模式为主发起行管理的,村镇银行属地监管机构应逐级上报至中国银监会。
第五十四条 村镇银行或主发起行委托同业机构或服务提供商开展以下信息科技工作时,应在同业合作协议或外包服务合同签订前20个工作日向中国银监会或其派出机构报告。
(一)信息科技工作整体委托;(二)数据中心、灾备中心整体委托;
(三)涉及将村镇银行客户资料、交易数据等敏感信息交由同业机构或服务提供商进行存贮、分析或处理的;
(四)涉及跨境的信息科技外包;
(五)其他中国银监会认为重要的信息科技委托事项。第五十五条 村镇银行或主发起行委托同业机构或服务提供商开展第五十四条所述信息科技工作的报告内容包括:
(一)委托服务基本情况,包括:委托服务名称,委托服务的主要内容,实施方式,影响的业务类型(渠道管理类、客户管理类、产品管理类、财务管理类、决策支持类、共享支持类),委托服务起止时间;
(二)同业机构或服务提供商基本情况,包括:同业机构或服务提供商全称,法人代表,注册资本,成立时间,企业性质;(三)中国银监会规定的其他材料。
第五十六条 承担村镇银行重要信息系统运行的主发起行或同业机构应就重要信息系统投产及变更事项在重要信息系统投产前至少20个工作日,变更前至少10个工作日向中国银监会或其派出机构报告。
第五十七条 发生达到《银行业重要信息系统突发事件应急管理规范》报送级别的重要信息系统突发事件时,村镇银行及主发起行应遵照其要求向银监会及派出机构报告。
第五十八条 对于承担多家村镇银行信息科技工作、集中度风险相对较高的主发起行和同业机构,银监会及其派出机构应定期对其信息科技风险管理的有效性进行评价,并依据其所承接村镇银行的数量、资产规模等情况加强现场检查。
第七章附则
科技负责人职责
一、本行办公室下设科技信息中心,办公室全面负责科技信息中心管理工作,组织本部门人员完成计划工作任务。
二、办公室拟订本部门工作计划、工作实施方案,提出工作措施,报批后组织实施。
三、科技负责人拟订、调整、完善本部门人员岗位职责和考核办法,报批后组织实施。
四、科技负责人负责提出、修订本部门的岗位责任制、操作规程和业务流程,做好各岗位的分工合作,协调各项业务工作的顺利开展,对员工进行绩效考核。
五、科技负责人对总行、各支行及网点计算机系统运行环境等安全状况及各项制度落实情况进行检查,做好记录,出具检查报告,发现问题及时解决,预防计算机犯罪和重大故障发生。
六、根据市场发展需求以及电子化建设发展的需要,协同业务部门搞好银行新产品的推广应用。
七、完成各类信息系统工作项目的实施上线为我行领导的经营决策提供有效、实用、可靠的信息。
八、负责制定计算机培训计划,合理安排培训计划的实施,提高全辖员工的计算机操作技能。
九、负责科技队伍的团队建设,加强对科技人员技术水平和工作能力的培养。
十、负责科技员的教育、培训和管理工作。
十一、贯彻国家法律法规和单位各项规章制度、工作要求,做好工作调研,提出工作意见、建议,报批后执行。
十二、按时上报工作计划、工作总结、报表等相关工作资料,定期向领导报告工作。做好单位上下、内外的协调沟通。
十三、遵守法律规章和单位各项制度、工作职责、工作纪律,讲职业道德、职业操守。按照单位各项工作事务和业务操作规程做好各项工作。
十四、完成单位分配和领导安排的其他工作任务。
科技员岗位职责
一、掌握业务终端仿真机的配置、存折打印机及其他业务外联设备的安装、管理和维护。
二、负责 IP 地址规划、配置,确保 IP 地址的合理性、有效性和安全性。
三、负责网络管理和维护,确保整个网络系统安全、正常运行。
四、掌握现有网络设备(路由器、交换机等)的安装、管理、维护的技能,确保网络设备正常运行。
五、负责向操作员传授设备的基本性能、使用常识和方法。
六、加强计算机设备管理,定期对网点计算机设备运行检查,确保计算机设备安全使用,减少故障率。
七、每日巡查总行机房,并填写《机房巡查日志》。
八、负责处理营业机构提交的各种业务需求、业务日常问题,确保业务系统正常运行。
九、对我行计算机系统的管理和维护,加强对我行本部人员的计算机操作的指导。
十、服从统一调配,处理突发事件。接到营业网点的网络设备或通讯线路故障报告及时作出响应,按照故障类型及时处理,并及时向部门负责人汇报故障处理结果;属于电信部门的故障要及时与电信部门联系,积极配合电信部门处理好故障,尽量减少故障时间,确保营业网点业务的正常开展。
十一、贯彻国家法律法规和单位各项规章制度、工作要求,做好工作调研,提出工作意见、建议,报批后执行。
十二、遵守法律规章和单位各项制度、工作职责、工作纪律,讲职业道德、职业操守。按照单位各项工作事务和业务操作规程做好各项工作。
随着信息科技技术应用的深人和信息科技外包服务的发展, 近年来我国商业银行普遍将信息科技外包作为提高信息科技服务水平的重要手段, 通过信息科技外包帮助银行提卨管理和服务效率, 节约信息枓技建设和运维成本, 实现战略升级。
随着外包服务范围的扩大和深人, 商业银行对于信息科技外包商的依赖程度也逐渐加大, 外包商自身的财务风险、经营风险、操作风险和道德风险都有可能传导至商业银行, 引发商业银行的业务中断、信息泄露、系统失效、经济损失、声誉受损等一系列系统性风险;另一方面, 由于银行自身外包管理能力的不善, 也引发了一些外包风险事件的发生。
监管机构近年来高度重视信息科技外包风险, 对商业银行外包管理提出了更明确的要求。因此, 如何在信息科技外包过程中科学有效的评估外包商的风险, 是商业银行目前信息科技外包风险管控迫待需要解决的问题。
二、商业银行信息科技外包风险评估模型建立
(-) 商业银行信息科技外包风险识别
信息科技外包是一种通过将风险发生时所造成的全部或部分影响转移给第三方服务供应商的风险转移措施, 它使商业银行通过风险转移在一定程度上降低了信息科技风险事件发生时对银行造成的损失。然而, 在将信息科技活动风险转移给第三方的同时, 也带来了外包活动的相关风险。据此, 本文从风险来源的角度将商业银行信息科技外包风险划分为两类 (见图1) 。
对于A类风险 (商业银行信息科技外包自有风险) 与B类风险 (外包商信息科技风险) , 本文识别了风险存在的领域, 依据因子分析法进一步分解了各风险领域下的风险因子。
1.A类:商业银行信息科技外包自有风险本文根据信息科技外包生命周期和管理主体, 同时参考相关指引和通知, 梳理了5个风险领域:外包管理组织架构及外包战略管理、外包风险管理、外包项目管理、外包商管理、监管报告管理。在每个风险领域下, 根据因子分析法又分解了17个可能诱发风险事件的风险因子。
2.B类:外包商信息科技风险。本文参考了IS027001�ITIL V3和积累的经验, 结合国际知名咨询公司的风险知识库, 共梳理出9个风险领域:运维管理、信息安全管理、服务管理、问题、事件管理、变更管理、业务连续性管理.转包分包管理、公司治理。在每个风险领域卜, 使用因子分析法进·步分解f 34个风险因子。
(二) 商业银行信息科技外包风险评估模型
信息科技外包风险事件大都产生于银行自身或外部服务提供商内部控制管理的不善、人员或系统外部事件引发的损失, 因此外包风险常常被归类为操作风险的一个分支。目前管理操作风险主要有三大定性工具, 包括风险控制自我评估 (RCSA) , 损失数据收集 (LDC) 和关键风险 (KRI) 指标。
基于操作风险的三大工具, 将信息科技外包风险评估模型分为为银行信息科技外包自有风险与外包商信息科技风险两块, 通过识别风险领域及其风险因子, 为每一个风险因子找到多个可应对它的控制活动, 且通过控制活动识别关键风险考核指标, 针对每个风险因子可能造成的财务、合规、声誉、资产安全、运营影响发生的可能, 确定各风险因子的风险值。关键风险考核指标主要划分为是否型指标 (定性考核) 和数值性考核指标 (定量考核) 。评估者可利用风险因子的风险值权重乘上每个关键风险考核指标的考核值, 加权平均得到各风险领域的得分, 进而得到外包风险的评分。
信息科技外包风险评估计量模型如图2所示, 信息科技外包活动中的风险权重 (本文中以W为标识) 与每项关键考核指标得分 (本文中以Yn为标识) 共同构成了信息科技外包风险管理得分的因子。
本文通过下面的计量公式得到信息科技外包风险管理总分:
其中, Sp表示信息科技外包风险管理总得分, Sp值越大, 说明信息科技外包风险越高;W (A/B) 表示A类或B类风险单个风险权重, 由判断条件01外包服务影响确定纳入计算范围的总体风险池, 01的选择不同将导致风险总数不同, 进而导致单个风险权重不同, Ri是五个风险影响领域财务影响、合规影响、资产安全影响、声誉影响、运营影响的出现的平均次数得出的风险值;Y<A/B) n表示A类或B类风险单项关键考核指标得分, 由判断条件02考核指标级别确定纳人计算范围的关键考核指标池。Y (A/B) n取值越大, 说明单项考核指标得分越高。
根据计算最终外包风险评估结果时, 银行信息科技外包自有风险 (A类) 和外包商信息科技风险 (B类) 时a和3的权重确定方法不同, 本文将信息科技外包险评估模型设计为单一权重信息科技外包风险评估模型和分层权重信息科技外包风险评估模型。
1.单一权重信息科技外包风险评估模型:在单一权重信息科技外包风险妒估^型中, 毎个风险领域和风险因子都是用单一同样的风险权重, a和P的值分别为A类和B类各风险因了十数占总风险因了·的占比。
单一权重信息科技外包风险评怙m型的优点是计算简单, 操作性较强, 具有很强的实际操作价值。但也存在_·定的缺点, 例如存在一定的主观性, 精度不够, 导致风险因子间相对重要性得不到合理体现。
2.分层权重信息科技外包风险评估模型。分层权重信息科技外包风险评估模型主要依据层次分析法�AHP) 确定各风险领域的权重。AHP法主要将目标结果分解成多个层次, 通过两两比较下层元素对于上层元素的相对重要性, 将人的主观判断用数量形式表达和处理以求得评估指标的权重。
本文创新性的采用了yaahp层次分析软件, 建立了分层模型, 并得到每个风险领域和因子的权重 (具体见表1) 。
基于AP1I法的分层信息科技外包风险评估模型主要将上述风险权重加入风险评分的计算中。A HP分析法最大的优点是实现了定量与定性相结合, 精度高, 能准确地确定if估指标的权重, 因而使评估指标间相对重要性得到合理体现, 评估结果可能更精准和科学。实际外包风险管控中, 商业银行可根据自身的风险评彳古需求, 选择单一权重信息科技外包风险评或分层信息科技夕卜包风险评佔‘模型。
(三) 信息科技外包风险评估模型的评级说明
银行信息科技外包自有风险与外包商信息科技风险评级分为1~5级。1级是最高评级表示银行信息科技外包风险管理方式最有力, 需要最少的监管关注。5级是最低评级, 表示银行信息科技外包风险管理方式最弱, 因此需要最多的监管关注及管理层重视。根据银行信息科技外包自有风险与外包商信息科技风险评级的1�5分评级结果, 可以得到总外包风险的评估等级。
三.外包风险评估实证研究
(一) 银行信息科技外包自有风险管理
本文针对农村金融机构、城市商业银行、股份制商业银行与国有商业银行, 并针对不同外包服务类型, 包括驻场、非驻场集屮式、非驻场独立式与跨境外包进行模型打分和访谈测试两个步骤来验证银行信息科技风险管理评估模型中银行信息科技外包_有风险管理的合理性。
选择某银行的驻场式外包管理进行模型验证, 从A模型中筛选出5个风险领域、17个风险因子与40个关键考核指标, 采用单一权重评分模型, 并将A模型使用及评分方法发予该银行的外包服务管理部门进行自评, 并对37条关键考核指标逐一进行控制活动设计与执行层面的测试。
由于模型与测试结果的偏离度大于5%, 对模型进行r修正, 降低对应的风险值的同时, 调整了各项关键考核指标的划分。通过重复自评、验证、调整的步骤, 保证模型与实际的偏离程度始终低于容差水平5%。
(二) 外包商信息科技风险管理
本文针对不同外包服务机构, 包括重点外包服务机构和非重点外包服务机构, 并针对不同外包服务类型, 包括应用系统托管、基础设施托管、系统软硬件平台维护、开发与人力外包、咨闻服务类进行模型打分和访谈测试两个步骤来验证银行信息科技风险管理评估模型中外包商信息科技风险管理的合理性。
在模型矩阵中筛选出“应用系统托管”适用的9个风险领域, 31个风险因子, 56条关键考核指标, 选择单一权重评分模型, 并将模型使用及评分方法发予该重点外包服务机构的外包服务管理部门进行自评。并对55条关键考核指标逐一进行控制活动设汁与执行层面的测试。
由于模型与测试结果的偏离度大于5%, 对模型进行了修正, 降低对应的风险值的同时, 调整了各项关键考核指标的划分通过重复自评、验证、调整的步骤, 保证模型与实际的偏离程度始终低丨二容差水f 5%。
四、商业银行信息科技外包风险防范的建议
综合上述商业银行外包风险评估模型和实证研究结果, 本文总结了进一步防范商业银行信息科技外包风险的建议, 主要包括:
一是审慎选择信息科技外包项目。商业银行在确定是否外包时, 应综合考虑业务需求、预期投人和未来成本效益分析, 根据银行业务未来的发展方向和战略, 选择外包项目。
二是建立严格的外包商准入评估机制。建议商业银行建立科学的外包商准入评估机制和方法, 在准入前、项目过程和结项时对外包商做出科学的评价, 并建立外包商信息库, 更新外包商内部评级至信息库, 作为下次外包服务的评价要素之一。
三是实施贯穿外包项目全生命周期的管理。建立外包项目的管理小组, 明确管理小组的成员和职责, 该管理小组监控外包项目进度, 实施外包项目全生命周期的管理。并且此外包项目的管理小组需要真正的在每个里程碑及时监控和反馈项目情况。
四是建立信息科技外包项目的防火墙。需要建立真正的风险防火墙, 分析传导范围, 采取适当的控制措施, 将风险传导范围控制在最小化的信息传递之内。
五是通过损失事件库的积累, 科学评定风险发生的可能性和预计损失, 实现外包风险的监控和计量。扦根据每项业务的外包的依赖度, 依据业务重要性水平, 实现相关风险损失准备金的计提。
摘要:本文从信息科技外包服务供需双方的角度, 对目前商血银行信息科技外包现状进行了分析, 全面识别了商业银行信息科技外包过程中可能面临的主要风险, 结合已知风险因子和外包类型, 形成了相应的外包风险预警指标体系, 通过利用层次分析法, 构建了可优化信息科技外包工作的商ik银行外包风险评估模型。
关键词:信息科技外包风险,风险评估,重点外包服务机构,优化控制
参考文献
[1]张金隆, 丛国栋, 陈涛.《基于交易成本理论的IT外包风险控制策略研究综述》.管理学报, 2009年.
|2]郭亮.《商业银行丨T外包项目风险评估的指标体系及方法》.上海交通大学 (硕士论文) , 2012年.
[3]吴文忠.《IT外包模式选择与风险管控》.金融电子化, 2011年.
[4]毛基业, 李晓燕.《动态能力构建:基于离岸软件外包供应商的多案例研究》.管理科学学报, 2010年.
关键词:网上银行;市场格局;存在问题
中图分类号:F049文献标识码:A 文章编号:1006-4117(2011)04-0272-02
1995年世界上第一家网上银行在美国诞生,随后,网上银行业务开始了爆发式的发展。网上银行的兴起,正悄然带来一场金融界的革命风暴。
一、网上银行的发展成就
1997年,招商银行在国内首开网上银行先河,并推出了企业银行、个人银行、网上证券等多项服务。2001年,网上银行用户发展到200多万户,2003年,非典的爆发,导致网上银行业务迅速发展,2007年上半年客户数达到6900万,2007年年底,85%以上的网民购物时,采用网上支付的方式,网银用户数增长到8500万,2009年网络购物用户规模达1.08亿人,市场交易值2500亿,其中网银交易额达440至450万亿,全国网银个人用户达1.5亿,企业客戶达400多万户。数据显示出我国网银业务的发展的丰硕成果及其发展前景一片光明。
二、网上银行当前的市场格局
从2008年网银业务的交易规模来看,建设银行电子银行交易额为77.64万亿元,工商银行为68.07万亿元,招商银行为11.43万亿元,国内网银市场形成三足鼎立之势。但到2009年之后,农行,交行等各大银行电子银行交易额也得到了很大提高,网上银行当前市场格局大有遍地开花之势。
从网银业务的品牌知名度来看,招商银行的“一网通”、工商银行的“金融@家”、建设银行的“e路通”等品牌在人们心中有着比较高的知名度。
三、我国网上银行当前所处的阶段
网上银行的发展可分为四个阶段。第一阶段,银行在网上通过网站宣传介绍业务,为客户提供服务信息。第二阶段,传统业务在网上得以开展,网络银行提供基本的交易服务。第三阶段,网银业务基本成熟,可以提供完备的交易服务。第四阶段,丰富扩张业务品种,将经营范围扩展到非银行业务的相关领域。
目前,我国大部分网上银行处于第二阶段,其服务还不能与传统银行相抗衡。少数银行已进入第三阶段,其中,以工商银行和招商银行最具代表性。但没有银行进入第四阶段。在这一方面,国内外情况相似,我国银行的信息化建设在某些方面确实与外国银行存在较大差距,但是在网银方面差距不大。
四、网上银行现存的问题
我国网上银行的发展确实取得了令人欣慰的成就,但是,与此同时,我们必须承认,我国网银的发展遇到了许多的问题。
(一)信息基础设施薄弱
当前,国内的计算机普及率还很低,网络安全防护技术发展滞后,很多必须的服务器和操作系统依赖于从发达国家的进口。与此同时,银行内部的基础系统相对薄弱,部分银行还缺少综合业务处理系统和数据处理中心,各系统之间缺乏链接平台,协调性、共享性差,后台处理系统无法提供全天候服务。制约了网银业务在时间和空间上的发展。
(二)市场主体的发展不健全
当前,国内网银业务大多未建立起完善的产品创新体系,只是对传统柜台业务的电子化延伸,服务层次低,功能局限于存款、汇款、代收费、汇兑等业务,严格地说,只能算是柜台业务的“上网银行”。
(三)没有形成一套稳定的盈利机制
我国的网上银行大都采用传统银行与网上银行的综合运营的模式,在这种背景下,网银提供的只是简单的支付服务,只是以交易渠道的形式存在,盈利很少。另外,网银有着较强的吸收存款的能力,但发放贷款的功能较弱,难以形成靠存贷利差赢利的机制。总之,当下,国内网上银行大都处于投入阶段,产出值还较少。
(四)网上银行的安全性有待加强
有报告显示,非现有网银用户中,71.7%的人最担心的问题是网银的安全性。网络安全已成为制约网银发展的主要因素。
在管理方面,目前没有形成一套系统的风险管理体系,缺乏成熟的管理流程,风险研究多偏重于技术层面,对风险的防范措施匮乏,网银与传统业务之间没有形成统一的风险管理体系,加上黑客、病毒的袭击,大大挫伤上了网民使用网银的积极性。
(五)使用范围小,顾客面窄
一方面,经济总量大、人均小的现实导致我国网络普及率低,网络交易额少,网上银行缺乏基础。据调查,目前使用网络的美国成年人数已经超过一亿,约占国民人口总数的一半,而我国的使用率不足四分之一,并且,有三分之一的网民是学生,他们使用网银的几率不大,大多数网民上网是为了娱乐和寻找信息。
另一方面,当前,我国网上银行业务的开展集中于东南沿海的一些经济科技力量雄厚的大城市里,而很多欠发达的边远地区很少甚至没有网上银行,这就制约了我国网上银行的服务对象、服务区域以及清算金额,导致网银业务规模不大,覆盖面低,普及率依赖于各地的经济实力和使用者的素质。
(六)在第三方的监管方面还需加强
网上业务范围广、延展性大,涉及到较多的第三方,例如网络运营商、保险经纪人、证券交易商、系统开发商、网络设备运营商等等。事实上,如果这些第三方的行为不当,给银行业造成较大损失。而银行对合伙方和第三方的依赖度正日益加深,因此,为了规避业务外包和第三方带来的风险,银行须要制定涵盖监管合伙人和第三方在内的管理程序。
(七)相关法规发展滞后
近年来,我国网上银行的法律保障体系建设,取得了一定的成效,相继颁布了、《网上银行业务管理办法》、《网上银行安全评估指引》、《电子支付指引》等法律法规,一定程度上规范了网上银行的市场准入、管理和风险控制,为网上银行的高效安全发展提供了法律基础。但是,网上银行发展迅猛,法规的制定仍旧相对滞后,指导性和操作性不强。对于交易规则、交易合同的有效性、当事人权责等方面仍难以界定。
五、推动网银业务健康发展的建议
(一)加强网络化、信息化的基础建设
网上银行的发展取决于信息基础设施的水平和信息知识的普及度。据调查,美国以每年17.7%的增速加大对金融信息业的投资。我们应增强紧迫感,加快信息基础建设,更新国民理财观念,提高银行网络化水平。
(二)加快业务创新
创新是企业进步的根本动力,当前网银的主流产品仍旧局限于银行的传统业务,商业银行应该提升产品创新意识,加快创新脚步,以满足不同收入者的需要,同时,银行要充分利用网络联通全球的功能,努力拓展海外市场。
(三)加强消费者利益的保护
当前,消费者利用网络获取信息的成本大大减少,但信息量并不完备。而且,目前网银的相关法规不完善,金融机构很可能利用法律漏洞牟利,这样就使得消费者的合法权益处于危险之中。国外在保护消费者利益方面有着比较成功的例子,如美国的“100美元原则”,即如果消费者没有明显不当行为致使其账户受损,则用户对损失的承担以100美元为上限,其余的损失交由金融机构负责。我国可以借鉴这类保护措施,确实保护消费者的合法利益。
(四)完善相关付律法规以及监管制度
政府、银行、企业要共同营造网上银行发展的良好内部环境。发展三项核心技术:建立服务平台技术、Web技术以及安全保密技术,保证支付的安全性。与此同时,政府要加快健全和完善与网上银行相关的法律法规,明确对网上银行犯罪的处罚和量刑,切实保障消费者的权益。再者,要建立起一套确实可行的监管模式,明确监管规则,确保网上银行的各项交易能购合法合规的安全进行,但是,因为不同的网络银行自身的发展方向和阶段不同,如果强制执行某一统一规范,可能会导致一些网络银行丧失创新的热情和主动性,而且会增加竞争者参与的成本,削弱市场竞争,所以,相关部门在制定规则时要兼顾公平与效益。
结束语:网上银行是21世纪银行业的必争之地,网上银行的发展是一种不可阻挡的趋势,是信息技术发展的必然结果,也是银行提高市场竞争力重要手段,这些年来,我国的网上银行业务虽然取得了较大的发展,但仍面临许多亟待解决的制约因素,相关部门应加紧完善技术和制度建设,以确保我国网银业的健康快速发展。
作者单位:中国人民大学财政金融学院
参考文献:
[1]沈如卫.我国网上银行发展的现状、问题及对策分析[J].现代商业.2010,9.
[2]郑延.我国网上银行发展现状及对策研究[J].金融与经济.2009,5..
[3]邹湘豫.我国网上银行业务发展现状及相关问题对策研究[J].中国市场.2010:32.
【银行信息科技调研】推荐阅读:
关于银行业信息科技与业务发展融合的思考07-06
银行信息证明06-13
银行信息论文06-20
银行业管理信息系统06-26
商业银行金融信息化09-13
高科技信息07-17
科技信息部职责06-12
银行调研报告实习06-16
北京信息科技大学课设06-03
锡盟科技信息研究所07-21
