银行信息科技风险管理策略
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
XX银行信息科技风险管理策略
随着银行信息化建设的深入,如何提高信息科技风险管理水平,已经成为银行在信息化建设过程中必须面对的一个重要课题。在分析商业银行信息科技风险的基础上,提出了信息科技风险管理的策略。
引言
信息科技在银行的广泛应用,使其成为银行稳健运营和提高竞争力的基础和保障。但是信息科技在促进银行业务发展的同时,也使银行业面对巨大的技术风险,一旦信息科技方面发生问题,将会直接影响到银行业务的连续性,甚至会影响到银行的安全。因此,商业银行加强银行信息科技风险管理,确保银行信息系统的安全、稳定、持续有效运行,已经直接关系到银行的运营和发展。
1 银行信息科技风险概述
1.1 信息科技风险定义。在中国银监会下发的《商业银行信息科技风险管理指引》中,对商业银行的信息科技风险做了如下定义:“信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险”。
1.2 信息科技风险来源。概括的说,信息科技风险主要来自四个方面:一是自然原因导致的风险,包括地震、台风等自然灾害造成的风险;二是系统风险,是由信息系统相关软硬件的缺陷引起的,包括基础设施和硬件设备老化、应用和系统软件质量缺陷等;三是管理缺陷导致的风险,主要体现在由管理制度的缺失或组织架构的制衡机制不完善,引起的管理或制度的空白及漏洞;四是由人员有意或无意的违规操作引
起的操作风险。
2 信息科技风险管理的重要性
近年来,特别是金融危机后,风险管理已经成为商业银行经营管理的重点领域,而信息科技风险作为银行风险的重要重组部分,在外在和内在因素的驱动下得到了高度重视:
2.1 外在驱动因素。近几年,国家金融监管部门对商业银行信息科技风险管理日益重视并提出了更高的标准和要求,将商业银行的信息系统纳入现场和非现场监管,大力开展信息科技风险检查工作。银监会2009年3月下发的《商业银行信息科技风险管理指引》,从信息科技治理、信息科技风险管理、信息安全、信息系统开发测试维护、信息科技运行、业务连续性管理等方面提出了具体而细致的风险管理要求。监管力度的加大,促使商业银行针对信息技术风险防控制定出更强有力的措施,不断提高信息安全风险管理水平。
2004年正式公布的新《巴塞尔资本协议》重新修订了银行风险的分类和定义,对信息科技风险进行了定义,明确将信息科技风险作为操作风险的重点纳入银行全面风险管理框架。按照有关规定,2010年到2013年,我国将要实施巴塞尔新资本协议。
2.2 内在驱动因素。随着银行信息化建设的深入,信息技术已经深入到商业银行经营管理的各个领域,成为银行业务发展和管理提升的技术保障。信息科技风险牵一发而动全身,信息系统的安全性和可靠性关系到商业银行整体经营管理活动的稳定,因此加强信息科技风险管理是提高银行信息科技治理水平和体现银行整体风险管理水平的
需要。
3 信息科技风险管理策略
针对我国商业银行现状,借鉴国外先进的管理经验和教训,商业银行的信息科技风险管理可以关注以下几个领域:
1)构建和完善信息科技治理结构,建立健全信息科技风险管理制度。信息科技风险管理不仅是技术问题,更是管理问题,只有持续完善信息科技治理结构,建立信息科技管理、信息科技风险管理和信息科技审计相结合的组织架构,建立健全信息科技风险制度,落实信息科技风险管理和防范责任,才能真正实现信息安全管理的目标,避免管理缺陷导致的风险。
2)强化信息系统研发项目管理,规范产品开发和投产流程。在信息系统投产前的研发和开发阶段,强化信息系统的项目管理,进行全面的风险分析并制定对应的防范措施,可以有效降低信息系统缺陷导致的信息系统质量风险。为此,可以通过制定有效的措施保障应用系统的研发质量,包括:不断改进研发和测试管理流程,加强需求管理、项目方案审查、研发过程管理和项目质量控制;优化调整应用版本、测试、投产和变更流程及策略,降低因版本投产和生产变更带来的风险隐患;将外包项目纳入全面风险管理范围,严控外包风险;与业务部门密切配合,加强沟通和协调,避免业务人员使用的系统操作风险。
3)提升运行维护和操作管理水平,推进生产运行自动化和流程化管理。生产运行风险是银行信息科技风险的突出表现,而生产运行的风险大多体现为操作风险。为此,商业银行应采取有效的运行管理措
施,降低系统运行风险。通过生产运行流程化改造,实现信息科技运行维护的流程化管理;采用技术手段和工具软件提高生产操作、监控等生产运行管理的自动化程度,降低人为因素引起的风险;建立并完善应急管理体系,明确应急预案和流程,确保出现紧急事件情况下能够进行妥善处理,将风险影响降至最低;提高科技人员的风险意识,实施关键操作的二次确认的管理制度,避免由于误操作引起的风险。
4)采取有效的技术和管理方法防范、化解信息安全风险。信息安全管理的核心是通过信息安全内控体系,确保银行信息系统和数据的保密性、完整性和可用性。为此,银行可通过制定和落实信息安全体系规范和信息安全等级保护措施,分析和解决信息安全隐患,主动发现和防范信息安全漏洞。同时,采取内部审计和外部审计相结合的方式,定期对信息系统和信息保障设施进行专项检查,并根据审计要求进行整改,形成信息科技风险检查、评估和整改的良性循环,从而实现信息安全体系的持续完善。
5)完善灾备机制,实施业务连续运行管理。现代商业银行以“数据集中”为特征的信息化建设,加大和集中了信息风险,因各种因素导致的信息系统灾难将对商业银行带来巨大的损失甚至毁灭性的打击。完善灾备体系,制定包括应急、业务恢复、危机处理等方面的业务连续性计划,可以有效的降低信息系统灾难所造成了的不良影响,提高风险防范能力。在此基础上,信息科技部门应积极组织开展应急演练,保证灾备体系和业务连续运行方案的有效性和可操作性,切实提高风险防控和风险管理水平。
4 结语
本文针对商业银行信息科技风险进行了研究,从信息科技治理、软件生命周期管理、系统运行维护、信息安全、业务连续性管理这五个领域出发,提出了商业银行信息科技风险管理的策略,以提高商业银行信息科技风险管理的全面性和有效性。