工商银行总行张艳:风险管理系统建设思考
工商银行信息科技风险管理的思考和实践
中国工商银行首席信息官林晓轩
随着信息科技在商业银行发展中的作用日益凸现,商业银行在面临传统的信用风险、市场风险和操作风险的同时,又面临信息技术与银行业务交融引发的新型风险——商业银行信息科技风险。信息技术的发展,一方面大力促进了银行客户服务和管理水平,降低了银行的管理成本和交易费用;另一方面,银行对信息科技的依赖以及由此产生的风险日益加剧。近年来,监管部门对信息科技风险管理高度重视,提出了明确的要求。国内各商业银行在信息系统软硬件建设和安全管理方面投入了大量资源,注意防范各类信息科技风险。在步入“十二五”信息科技发展新阶段之际,如何进一步提高信息科技风险管理水平,是各家商业银行在规划未来一段时期信息化建设过程中需要思考和解决的一项重要课题。
一、商业银行加强信息科技风险管理的重要性
信息系统的安全性、可靠性和有效性不仅是商业银行赖以生存和发展的重要基础,还事关整个银行业的安全和国家金融体系的稳定,因此国家对银行信息科技风险管理日益重视,各监管机构均对银行信息科技风险管理提出了明确要求,各商业银行也普遍提高了对信息科技风险管理的关注程度。
1.加强信息科技风险管理是金融监管部门关注的重要内容
随着国内银行纷纷上市并在全球金融格局中扮演日益重要的角色,对于包括系统运行风险在内的信息科技风险管理工作,得到了监管部门越来越多的关注和各家上市商业银行的日益重视。2009年3月,银监会颁布了《商业银行信息科技风险管理指引》(以下简称《指引》),从信息科技治理、信息科技风险管理、信息安全、信息系统开发测试和维护、信息科技运行、业务连续性管理、外包、内部审计、外部审计等方面,对商业银行信息科技风险管理工作提出了全面要求。国家有关监管部门这些卓有成效的管理措施对银行不断改进和完善信息科技风险管理工作具有十分重要的指导意义,充分体现出了我国政府对银行业信息科技风险管理的高度重视。
2.加强信息科技风险管理是商业银行自身发展和提高it治理水平的需要
根据it治理模型,信息科技风险管理与战略一致性、资源管理、绩效评估等一起构成it治理总体架构,是其中一个重要方面。随着各家银行信息化建设的深入,对信息科技风险的认识也在逐步深入,从单一的信息安全转变为涵盖生产运行、应用研发、信息安全等方面的全面信息科技风险管理,信息科技风险管理水平体现了银行的信息化程度和整体的风险管理水平。在商业银行完成股份制改革和上市之后,商业银行更是普遍认识到信息科技一旦发生风险事件,不仅会影响业务的正常办理,还可能会对银行的声誉和市值产生负面影响,因此更为重视信息科技风险,这也相应对加强信息科技风险管理提出了更高要求。
3.加强信息科技风险管理是新《巴塞尔资本协议》的基本要求2004年正式公布的新《巴塞尔资本协议》(baselⅡ,)以及后续公布的baselⅢ中,对银行风险的分类和定义进行了明确,强调银行在进行风险管理的时候,不仅要重视传统的信用风险、市场风险、流动性风险,而且要将操作风险放在一个重要的地位,并将信息科技风险明确划归至操作风险的范畴,从而使得信息科技风险管理成为了银行全面风险管理体系中的重要组成部分。
二、商业银行加强信息科技风险管理的有关举措
根据国际权威机构“信息系统审计与控制委员会”(isaca)发布的信息系统风险控制和it审计工作的最佳实践指南,信息科技风险管理应关注it治理、软件生命周期管理(即项目开发与变更)、it服务交付与支持(即系统运行维护)、信息安全、业务连续性管理等几大领域。银监会《指引》规定,“信息科技风险是指信息科技业务在商业银行应用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险”,同时明确了商业银行信息科技风险管理覆盖了信息科技治理、信息科技风险管理、信息安全、信息系统开发、测试与维护、信息科技运行、业务连续性管理等内容。总体而言,商业银行在具体实践过程中主要从科技治理、生产运行、应用研发、信息安全等四个方面落实信息科技风险管理措施。
多年来,工商银行坚持“科技兴行”、“科技引领”发展战略,建立了集约化的信息科技组织管理体系,并逐步建立了与国际大银行相适应的先进的科技体系和技术平台。自2006年起,工商银行将信息科技风险纳入了全行风险管理体系,作为操作风险管理的重要组成部分,围绕上述四个领域在信息科技风险管理方面开展了大量工作。
1.建立健全信息科技管理组织体系和信息科技风险管理体系,是加强信息科技风险管理的基础
此处内容需要权限查看
会员免费查看(2)在应用研发方面,产品质量会引发系统运行风险,而引发产品质量问题的因素是多方面的,既包括程序设计和开发缺陷等技术因素,也包括业务测试验证和需求不完善或质量不高等业务因素。因此,在应用产品研发过程中,需要科技部门与业务部门共同做好项目管理工作,实现风险共担。
(3)在信息安全方面,信息安全管理涉及多个部门职责,除了信息科技部门外,还涉及信息及信息系统归属部门、信息及信息系统使用部门、内控合规部门、内部审计部门、保密管理部门等,在日常工作中需要科技部门与业务部门按照职责分工共同落实信息安全管理措施,防范信息安全风险。
总之,信息科技风险管理是商业银行发展以及信息化进程中面临的十分重要和紧迫的问题,需要银行业各方面共同关注和推进,也需要各家商业银行内部科技部门和业务部门协同配合,共同打造一个安全的、抗风险的金融it平台,促进银行业务的健康快速发展。