關于城商行信息科技風險管理的思考

　　金融創(chuàng)新步伐加快，信息技術迅猛發(fā)展，銀行業(yè)金融機構的信息科技風險逐步增大，銀行業(yè)以及監(jiān)管當局日益重視信息科技風險的管理和監(jiān)管。巴塞爾新資本協(xié)議明確地將操作風險納入資本監(jiān)管的范疇，而信息科技風險是操作風險的重要組成部分。為加強我國商業(yè)銀行信息科技風險管理，中國銀監(jiān)會2009年正式發(fā)布了《商業(yè)銀行信息科技風險管理指引》，適用于境內依法設立的法人商業(yè)銀行，其他銀行業(yè)金融機構參照執(zhí)行。
　　盡管近年來城商行資產(chǎn)規(guī)模快速擴張，跨區(qū)域經(jīng)營，獲得了突飛猛進的發(fā)展，風險管理理念和信息技術水平得到了有力提升，資產(chǎn)質量得到了有效改善。但由于脫胎于城市信用社，受制于總體規(guī)模較小，地域性強，創(chuàng)新不足，信息技術落后等因素，整體上風險管理水平和能力相對于大型銀行和全國股份制銀行依然偏弱。尤其是對于信息科技風險管理的重視程度有待進一步提高，信息科技風險管理的方式方法有待進一步改進，信息科技風險管理的體制機制有待進一步完善。
　　
　　城商行信息科技風險特點和表現(xiàn)形式
　　
　　城商行發(fā)展歷程不長，正處于快速擴張階段，而且受制于規(guī)模和財務能力限制，其信息科技建設往往跟不上業(yè)務的快速發(fā)展。其信息科技風險特點和表現(xiàn)形式往往不同于國際活躍銀行和國內大中型商業(yè)銀行。
　　
　　信息基礎設施建設嚴重滯后于業(yè)務快速增長。按照國際慣例，商業(yè)銀行核心業(yè)務系統(tǒng)主機容量使用率如果超過60％的話，就需要擴大系統(tǒng)容量，而國內很多城市商業(yè)銀行都超過這個指標。更為明顯的是，某城市商業(yè)銀行2008年發(fā)生的柜臺交易緩慢，業(yè)務持續(xù)一個多小時無法正常進行，僅僅就因為主干網(wǎng)線的入戶接入設備發(fā)生故障。
　　
　　城商行大多沒有明晰的信息科技風險管理架構。首先，很少有城商行設置專門的信息科技風險管理機構。一般都是由科技信息部門負責信息科技風險的管理和處置，既負責信息系統(tǒng)和項目的開發(fā)維護，同時也負責科技風險管理，沒有對此進行獨立評價的部門和人員。信息科技風險歸口科技信息部門，風險管理部門介入很少。其次，由于財力和人力的限制，城商行一般都根據(jù)自身能力落實信息科技風險管理，沒有設立獨立的信息科技風險機構和人員，沒有建立完善的信息科技風險事故報告、監(jiān)測和應急機制。
　　
　　城商行信息科技風險專業(yè)人員缺乏，而且配備不足。首先，信息科技風險是金融業(yè)務與信息技術結合的產(chǎn)物，專業(yè)人員需具備綜合能力，既要熟悉銀行基本業(yè)務，也要熟悉信息系統(tǒng)架構和技術。城商行一方面專業(yè)人員缺乏，另一方面，各銀行之間對于高層次人才的爭奪也十分激烈。城商行在科技人才的競爭中處于不利地位。其次，城商行科技人員配備不足。國內商業(yè)銀行科技人員配置比例一般是2％～2.5％，而大型銀行的人員配置比例更高。據(jù)報道，國內某城商行如果按照2.5%的人員配置的話，應該至少需要科技人員200人，而該城商行全轄只有45個專業(yè)科技人員，遠遠低于國內銀行平均水平。這在業(yè)務快速發(fā)展的城商行界非常普遍，因為城商行還是不同程度地存在著重業(yè)務發(fā)展，輕風險管理的現(xiàn)象。
　　
　　城商行信息科技服務外包管理有待完善和規(guī)范。由于受到規(guī)模和技術力量的限制，城商行的信息系統(tǒng)開發(fā)一般都是外包給技術廠商，特別是有些系統(tǒng)的維保等也是外包給廠商的。但是城商行平時應用較多的應用系統(tǒng)，如核心業(yè)務系統(tǒng)、信貸業(yè)務系統(tǒng)和網(wǎng)上銀行等，均需要在廠商成熟產(chǎn)品的基礎上，再進行個性化的開發(fā)或者優(yōu)化，專業(yè)化程度高，城商行自身科技人員難以滿足開發(fā)的要求，外包存在一定風險，需要規(guī)范科技信息外包管理。此外，服務外包合同條款，外包商的服務水平評估，外包風險的應急措施及防范，以及外包管理的審核、管理機制等均有待完善。
　　
　　城商行信息科技風險管理的經(jīng)驗介紹
　　
　　隨著國內城商行的快速發(fā)展，信息科技風險管理越來越得到城商行的高度重視。一些優(yōu)秀的國內城商行在信息科技風險管理方面也取得了驕人的成績，歸納以來，主要有以下四點。
　　
　　城商行的“兩會一層”等高級管理層要高度重視信息科技風險管理工作。在信息技術高速發(fā)展的時代，銀行開展任何業(yè)務、風險管控和管理創(chuàng)新都離不開信息科技，而信息科技的廣泛應用，必然會帶來信息科技風險。而信息科技風險的產(chǎn)生不但會影響正常業(yè)務，產(chǎn)生直接損失，而且會產(chǎn)生聲譽風險。重視信息科技風險管理不光是思想上，或者是口頭上，更要落到實處，即是在人力、物力和財力上予以保證。
　　
　　順應監(jiān)管要求。建立完善的信息科技風險治理架構。明確信息科技風險管理的主責任人，
　　“兩會一層”以及首席信息官的相關職責，設立或指定一個特定部門負責信息科技風險管理工作，直接向首席信息官報告工作，明確風險管理部門、信息科技部門以及內部審計等相關部門在信息科技風險管理中承擔不同的角色和職責，構建既相互協(xié)作，又獨立開展工作的信息科技風險管理架構。
　　
　　借助外在力量加強信息科技風險管理。城商行由于缺乏專業(yè)人才，難以對自身信息科技風險作出準確、科學的識別，更難以做出根本性的改善。應委托具備相應資質的外部審計機構定期進行信息科技風險外部審計，并及時根據(jù)外部審計機構的建議，對相關風險問題和風險點進行整改。按照《商業(yè)銀行信息科技風險管理指引》，外部審計也是信息科技風險管理的事后控制，即第三道防線的重要組成部分。外部審計在城商行風險事前防范和事后控制上發(fā)揮著重要作用，比如前期媒體披露發(fā)生“特大偽造金融票證”案的某城商行，在之前的外部審計中，就被審計機構出具了存在騙貸風險的保留意見。
　　系統(tǒng)項目建設和信息科技服務的外包，也是充分借助外在力量的體現(xiàn)。但是，銀監(jiān)會信息科技風險管理指引明確要求，商業(yè)銀行不得將其信息科技管理責任外包，即應合理審慎監(jiān)督外包職能履行，應從外包方選擇、外包談判、協(xié)議簽訂、外包過程中的信息安全等方面提出明確要求。從城商行來講，就是要完善外包管理辦法，從外包服務職責、內容、資料移交、年度考核、驗收、風險管控等環(huán)節(jié)制定外包制度和辦法。此外，還應探索服務外包方式，購買原廠商技術服務，引進廠商的專業(yè)服務和智慧，提升城商行系統(tǒng)運行的穩(wěn)定性。
　　
　　完善培訓激勵機制，加強信息科技風險管理隊伍建設。人才是城商行的短板，而信息科技風險管理人員專業(yè)性強，屬于復合型人才。城商行首先應引進專業(yè)人員，提升系統(tǒng)開發(fā)和維護的能力。其次應適當招聘后備人才，建立梯隊信息科技力量，加強培訓，逐步使其熟悉銀行業(yè)務以及相應信息系統(tǒng)架構和技術，通過以老帶新、項目鍛煉等方式增強其技術水平和綜合能力，培養(yǎng)自身的信息科技人才。最后，應努力完善激勵機制，建立專業(yè)技術人員職業(yè)發(fā)展通道，提高信息科技人員的工作認同度和積極性。
　　
　　城商行信息科技風險管理的對策建議
　　
　　城商行必須明確自身的市場定位，從自身業(yè)務特點出發(fā)，按照監(jiān)管要求，建設具有自身特色的信息科技風險管理體系。
　　首先，城商行應盡快樹立并強化信息科技安全風險意識。必須意識到，銀行業(yè)對信息科技高度依賴，信息技術系統(tǒng)的安全性、可靠性和有效性直接關系到銀行業(yè)的安全和金融體系的穩(wěn)定。不僅各級領導，信息科技條線的員工，而且全行各條線員工都應該樹立和強化信息科技風險意識，防范信息科技風險。
　　其次，城商行應明確信息科技安全第一責任人的意識，董事會、監(jiān)事會和高級管理層必須對整個信息科技風險負責，制定并指導全行執(zhí)行信息科技風險管理政策，有責任建立覆蓋全系統(tǒng)，自上而下的，由信息科技部門、風險管理部門、內部審計部門等相關部門共同參與的信息科技風險管理體系。
　　第三，城商行應有科學合理的信息科技風險管理戰(zhàn)略發(fā)展規(guī)劃。城商行應找準自身市場定位，結合業(yè)務特征，根據(jù)信息化發(fā)展趨勢，以及監(jiān)管部門的合規(guī)要求，制定科學合理的信息科技專項規(guī)劃，在總體規(guī)劃的基礎上，逐步開展信息化建設，避免重復建設和信息孤島產(chǎn)生，加強信息科技風險管理的系統(tǒng)性和有序性。
　　第四，城商行應強化各相關部門聯(lián)動協(xié)作，建立完善信息科技風險管理的三道防線，共同做好信息科技風險管理工作。三道防線是：由策略保障體系、組織保障體系和技術保障體系構成的完備的信息科技風險管理體制和基礎安全控制設施，形成信息科技風險事前防范的第一道防線；由運營保障體系構成事中控制的第二道防線；由應用恢復保障系統(tǒng)與內外部審計部門構成事后控制的第三道防線。此外，還應建立和完善信息科技風險監(jiān)測、識別、報告、預警和處置的相關程序和制度。完善信息科技風險應急處置預案，并定期進行應急處置演練。
　　第五，城商行應制定和完善各類有效的信息科技管理制度，優(yōu)化信息科技風險管理流程，提高制度約束的執(zhí)行力水平，不斷完善信息安全管理機制。尤其是要加強信息科技服務外包和項目系統(tǒng)建設外包的規(guī)范化管理，要突出防范由外包可能帶來的信息科技風險。
　　第六，城商行應加大對信息科技基礎設施的建設投入，保障業(yè)務快速發(fā)展的信息技術支持。在信息科技系統(tǒng)不能滿足業(yè)務發(fā)展需求時，應適當放慢業(yè)務擴張的進度，保障業(yè)務發(fā)展規(guī)模和風險管控能力的協(xié)調一致。尤其是，城商行異地經(jīng)營，跨區(qū)發(fā)展的時候，更會對總行的信息科技系統(tǒng)支持、信息科技風險管理水平和能力提出更高的要求。
　　第七，城商行應加大信息科技風險管理人才的引進培養(yǎng)，加強隊伍建設。城商行信息科技風險管理水平的提高不僅要靠加大基礎設施投入，更應該依靠信息科技風險管理專業(yè)人員水平和綜合素質的提高。只有在加強自身人才隊伍培養(yǎng)的基礎上，充分借鑒和借用外在力量，才能保障和提升城商行自身的信息科技風險管理能力和水平，保障信息科技安全。
　　
　　責任編輯：王