關于提高商業(yè)銀行信息科技風險管理水平的思考

潘小艷

【摘 要】 當前，傳統(tǒng)商業(yè)銀行正面臨著經(jīng)濟轉型、金融市場改革、競爭加劇的多重壓力，未來的發(fā)展可以說是機遇與挑戰(zhàn)并存，而信息科技的蓬勃發(fā)展，為商業(yè)銀行發(fā)揮自身優(yōu)勢，迎接數(shù)字化時代挑戰(zhàn)，提供了強有力的支撐。信息科技一方面極大地豐富了銀行服務的產(chǎn)品和類型，有效提升了銀行服務的效率和質量，另一方面隨著移動互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、區(qū)塊鏈等新技術的廣泛應用，現(xiàn)有的商業(yè)銀行信息安全防御體系面臨著新形勢下的新問題。一旦信息科技出現(xiàn)問題，輕則影響銀行業(yè)務運營和客戶服務，嚴重時可能危及銀行的生存和發(fā)展。有效防范信息科技風險，已成為保障商業(yè)銀行安全穩(wěn)定運營的重要任務。

【關鍵詞】 商業(yè)銀行 信息科技 風險管理

一、商業(yè)銀行信息科技風險的特點及信息科技風險管理的重要性

近年來，金融機構越來越重視信息科技風險管理，這一方面是金融風險管理全球化發(fā)展的必然結果，另一方面是信息科技風險的特點決定了信息科技風險管理的重要性。具體來講，商業(yè)銀行信息科技風險具有以下特點：

（一）技術性。銀行信息科技本身是利用現(xiàn)代信息技術改造銀行經(jīng)營、管理方式，從而提高生產(chǎn)效率的過程，他涉及現(xiàn)代計算機技術、網(wǎng)絡通信技術、安全技術等多方面技術問題，近年來又出現(xiàn)了互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、智能終端等新興技術。一旦出現(xiàn)問題，都體現(xiàn)了其技術含量極高的特點。

（二）突發(fā)性。信息科技風險的突發(fā)性體現(xiàn)在兩個方面，一是自然災害的突發(fā)性，導致銀行由于信息技術領域的基礎設施遭到破壞，使銀行產(chǎn)生風險;二是由于信息過程的技術性，只要任何一個環(huán)節(jié)突發(fā)故障，都可能造成整個系統(tǒng)無法使用，從而形成風險。

（三）傳遞性。由于計算機網(wǎng)絡快速傳遞的特點，一旦系統(tǒng)出現(xiàn)故障，可以使風險迅速從局部蔓延到整個網(wǎng)絡涉及的每一個部分，從而導致風險的進一步加劇。

（四）強破壞性。一旦核心系統(tǒng)和主干網(wǎng)絡出現(xiàn)故障或受到攻擊，可能立刻傳導到各分支機構，引發(fā)連鎖反應，造成全行性的業(yè)務停頓的災難性后果。信息科技系統(tǒng)出現(xiàn)風險，可能波及銀行體系外的經(jīng)濟活動參與者，造成無法估量的損失和社會影響。

（五）多元性。傳統(tǒng)的銀行風險，多發(fā)生在銀行營業(yè)場所，通過銀行柜臺、ATM等有限的經(jīng)營場所形成。但在銀行信息技術大量運用后，使得銀行風險即可以通過原有渠道形成，也可以通過電話、POS、計算機和手機等任何接入網(wǎng)絡的終端設備形成，表現(xiàn)出風險形成的多元性。

（六）多方性。隨著銀行信息技術的發(fā)展，保證銀行正常經(jīng)營的不止銀行本身，電信部門、電力部門、產(chǎn)品供應商、服務提供商和商家都已成為銀行正常經(jīng)營的一部分。往往銀行業(yè)務系統(tǒng)一旦出現(xiàn)故障，容易出現(xiàn)責任無法鑒定的情況，也常常給問題的快速解決帶來影響。

（七）隱蔽性。目前，銀行主要業(yè)務流程均已實現(xiàn)信息化，業(yè)務的開展依賴于信息平臺。如果應用系統(tǒng)的設計者對銀行業(yè)務流程不熟悉，或對風險點考慮不周全，可能在系統(tǒng)設計之初就留下了缺陷和隱患。這些問題往往存在于系統(tǒng)底層，日常管理和維護難以發(fā)現(xiàn)，在經(jīng)過長期大規(guī)模應用后才能引發(fā)事端，體現(xiàn)出較強的隱蔽性。

二、商業(yè)銀行信息科技風險管理存在的問題

（一）商業(yè)銀行信息科技風險管理的有效協(xié)同不足。信息科技防控體系應該是商業(yè)銀行全面風險管理體系的重要內容，是一個整體，是相互獨立、相互制約、相互促進的關系。但是在商業(yè)銀行信息科技風險管理過程中存在著有效協(xié)同不足的問題。一是信息科技風險管理理念傳導不足，各防線、部門之間信息不對稱，信息溝通和分析缺乏完善的途徑和機制。二是各道防線工作上存在獨立有余，側重不足，比如科技部門更加注重開發(fā)運維，而事中風險控制不足。監(jiān)督和保障部門又主要著眼于事后查找問題，各種風險控制措施沒有與專業(yè)管理流程緊密連成一體。

（二）商業(yè)銀行信息科技風險計量與監(jiān)測機制仍需完善。信息科技風險不是一成不變的，它會隨著銀行業(yè)務的發(fā)展、技術的進步而變化，即便是相同的問題，在不同的系統(tǒng)環(huán)境、業(yè)務場景會產(chǎn)生不一樣的風險。這就要求我們必須根據(jù)業(yè)務環(huán)境和科技狀況的變化，分析存在隱患的區(qū)域，評價風險對業(yè)務的潛在影響，確定風險防范措施及優(yōu)先級別，對信息科技風險進行持續(xù)有效的計量和監(jiān)測，將風險控制到管控目標內。

（三）商業(yè)銀行信息科技風險管理隊伍人才建設仍需加強。

信息科技工作專業(yè)性較強，一支技術水平高、經(jīng)驗豐富、戰(zhàn)斗力強的信息科技風險管理隊伍是銀行做好信息科技風險管理的前提條件。但目前商業(yè)銀行普遍存在專業(yè)、專職的信息科技風險管理人才缺乏問題，人員兼崗現(xiàn)象較為普遍，嚴重影響了信息科技風險管理的效果。

三、提高商業(yè)銀行信息科技風險管理水平的建議

（一）完善信息科技風險管理溝通機制，提高協(xié)同力。一是要牢固樹立信息科技風險管理理念，提高全員信息科技風險管理意識，共同承擔信息科技風險管理職責。二是建立和完善信息科技風險信息的溝通和共享機制，要及時、主動的傳遞信息科技風險隱患信息。三是要將風險管控措施集成內嵌于信息科技工作中，主動進行風險管理，深入分析和識別風險，對風險較高的信息科技領域進行事前風險評估，加強事前和事中風險管理能力。

（二）創(chuàng)新思維，不斷提高信息科技風險監(jiān)測與計量能力。一是不斷完善信息科技風險監(jiān)測機制，建立風險監(jiān)測平臺，二是根據(jù)內外部信息科技技術、安全形勢的變化以及監(jiān)管部門的要求，定期對風險指標進行調整，對監(jiān)測系統(tǒng)進行優(yōu)化，爭取逐步實現(xiàn)指標的自動化管理。三是精細化信息科技風險計量，側重各種風險管理工具的組合運用，將風險管理的方法工具化、統(tǒng)一化、模型化，不斷提升計量的科學性和有效性。

（三）加快推進信息科技風險管理人才隊伍建設。應高度重視信息科技風險管理人才培養(yǎng)工作。要通過采用內部全方位培養(yǎng)和外部引入高端人才相結合的方式，打造一支高水平的、穩(wěn)定的信息科技風險管理隊伍。

【參考文獻】

[1] 閻慶民.中國商業(yè)銀行操作風險研究，中國經(jīng)濟出版社，2012（4）

[2] 唐云.論金融信息系統(tǒng)的安全管理[J].系統(tǒng)安全，2013

[3] 鄭博涵.金融風險及其防范問題探究[J]，時代金融，2013.