2008年9期 金卡工程·经济与法 金融财经 对商业银行信息科技风险的几点思考 口李东卫 (中国银监会阳泉监管分局,山西阳泉045000) 摘要:随着金融电子化程度的日益提高,商业银行对信息科技的依赖度显著增强,但商业银行对信息科技的风险防范不足,管理 相对薄弱,缺乏对信息科技安全的关注和统筹安排,从而造成风险事件时有发生。因此,防控商业银行信息科技风险刻不容缓。 本文对商业银行信息科技风险类别与管理进行分析,揭示了商业银行信息科技管理存在的主要风险,提出了改进建议。 关键词:商业银行信息科技风险建议 信息科技风险的含义与特点 商业银行信息科技风险是指商业银行在运用信息科技过程中,由 于自然因素、人为因素、技术漏洞和管理缺陷产生的风险,巴塞尔新资 本协议将其作为操作风险中的重点进行防控。信息科技风险管理的 目标是通过建立有效的机制,实现对信息科技风险的识别、计量、评价 和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息 技术应用水平,增强核心竞争力和可持续发展能力。 信息科技风险与其它领域的风险相比,具有其自身的特点:一是 破坏性大,信息科技处理的实时性,加上商业银行数据大集中,使得风 险扩散更为迅速,破坏性更为剧烈,损失也更为惨重,局部故障可能导 致整个商业银行业务的瘫痪;二是影响面广,信息科技的应用和普及 加快了商业银行与同业机构和外部市场的风险传导,极大地放大了科 技风险的影响范围,单一机构出现的信息科技问题很可能会直接威胁 整个金融体系的稳健运行;三是隐蔽性高,信息科技处理的虚拟性使 得风险潜伏更为隐蔽,风险出现具有不确定性,难以通过常规方法监 测和控制;四是专业性强,由于信息技术本身的特殊性,其风险管控的 技术性、专业性更强,难度更大,多数商业银行尚未建立有效的信息科 技风险防控体系,防范手段不足。 二、信息科技风险类别与管理 巴塞尔委员会将银行面临的风险分为信用风险、市场风险、操作 风险、流动性风险、国家风险、声誉风险、法律风险以及战略风险 类 商业银行信息科技风险主要表现为操作风险,但也会连带导致商 业银行法律和声誉风险。 (一)操作风险。信息科技导致的操作风险可分为二类:一类是由 于信息系统故障或缺陷,导致商业银行服务中断、效率降低而引起的 风险,也称为信息科技通用风险。另一类是因为信息系统设计不完 善,导致信息系统数据处理错误、内控措施失效或数据安全性受损而 科技治理都不完善,信息技术部门是集运营、管理、监督子一身的技术 垄断部门,高管层和风险控制部门无法对其实施有效监督,业务战略 与信息科技战略难以保持一致。据有关部门统计,2007年评估结果 显示,48%的银行在规划部门、技术风险管理部门和审计部门三者之 间的职责分工、管理流程等方面存在严重问题 商业银行应将信息科 技风险纳入总体风险管理框架,设计出包括高级管理层、业务部门、信 息科技部门、风险管理部门、审计和合规部门在内的信息科技风险治 理架构,将信息风险控制前移,从业务部门的需求管理开始,把风险管 控贯穿于信息流动的全过程。当前,应重点建立信息科技风险管理保 障机制、评估预警机制、应急处置机制”三大机制”,构建技术部门安全 检查、风险部门风险监控、审计部门审计监督”三条防线”。 (二)变更管理。应用系统或基础设施的变更,尤其是紧急变更, 是信息科技风险事件高发领域,近年来出现的部分商业银行交易中 断、个人业务系统运行不畅等事故,都与变更管理不完善有关。变更 管理存在的主要问题有:系统不成熟或需求变化太快,变更过于频繁; 变更前测试不充分,未进行全面的风险分析,未制订应急回退方案;变 更时未避开业务高峰时段,无专人监督复查;变更后未进行有效性检 验,未对变更结果进行评估等。 (三)业务连续性管理。美国”9l1”、非典型肺炎、南方雪灾、汶川 地震等灾难事件警示我们,灾难备份和业务连续性管理是商业银行应 对突发风险事件和重大事故的根本措施。当前,国内商业银行很少实 施全面的业务连续性管理,存在的主要问题有:业务连续性管理停留 在技术层面,未进行业务影响分析,没有业务部门、后勤保障部门和公 共管理部门的参与;多数小型商业银行尚未建立灾备中心,建立了灾 备中心的商业银行多数未进行过切换演练,灾备中心有效性难以保 证;应急预案未进行定期演练和更新,未包含所有可能的应急场景;系 统容量规划不合理,未进行压力测试,不能满足客户数量和交易量激 增情况下的处理需求等。 产生的风险,也称为应用系统控制风险。 (二)法律风险。信息科技导致的法律风险也包括二类:一类是由 于信息系统故障、数据处理错误或安全事故,商业银行与客户之间产 生法律诉讼,从而给商业银行带来财务损失的可能性;另一类是由于 信息系统设计和控制不符合监管部门要求,从而产生的合规风险。 (三)声誉风险。信息科技导致的声誉风险指计算机系统故障,商 业银行不能及时为客户提供快捷、方便的服务,或者因上述操作风险、 法律风险的负面影响,从而引起商业银行声誉降低的可能性。 信息科技风险管理的内容可划分为三个层面:一是信息科技治 理,即设计有效的领导关系、组织结构和工作流程,确保信息科技与组 织的战略目标相一致;二是信息科技总体管理,包括基础设施管理、信 息安全管理、系统开发管理、系统运行管理、业务连续性管理、外包管 理、内外部审计等内容,以避免信息系统服务中断或出现安全事故;三 是应用系统控制,即业务流程中内嵌的信息系统相关控制,以保证信 息处理的完整性和准确性,保证访问控制和内部控制的有效性。商业 银行通过制定明确的信息科技风险管理策略,开展持续的风险识别和 评估,实施全面的风险防范措施,建立风险计量和监测机制,实施全面 的信息科技风险管理,达成信息科技风险管控目标。 国内商业银行信息科技风险管理法律法规体系还不十分健全,主 要依据有银监会的《银行业金融机构信息系统风险管理指引》和 部的《信息安全等级保护管理办法》,同时亦可参考国际上一些成熟的 标准和最佳实践,如:国际上公认的信息科技管理与控制框架COBIT、 内部控制框架cOs0、信息科技服务管理标准库ITIL、信息安全最佳 实践ISO 27001/27002、项目管理知识体系PMBOK等。 三、当前商业银行信息科技风险需要关注的重点 信息科技风险管理内容繁多,当前,技术管理层面应重点关注信 息科技治理、变更管理、业务连续性管理以及第三方管理;应用系统层 面应重点关注网上银行、银行卡等与用户密切相关的系统的风险管理。 (一)信息科技治理。信息科技治理是公司治理的重要组成部分, 包括领导关系、组织结构和工作流程,其目的是保障信息科技与组织 的战略目标相一致。由于信息技术本身的特殊性,多数商业银行信息 (四)第三方管理。电信、电力服务商以及外包商等第三方的管 理,是多数商业银行的薄弱环节。第三方管理存在的主要问题有:未 签订服务水平协议,紧急情况下服务难以保证;虽然多数商业银行对 关键系统设计了双通讯线路、双回路供电等措施,但由于电信运营商 共用通讯管道,双路供电从同一变电所引出等缺陷,达不到冗余备份 效果;未与外包商签订保密协议,对外包人员的安全管理存在缺陷,未 对外包商定期进行审核、评估及报告;对电力、电信接入设备的管理和 监控不到位等。 (五)网上银行系统。网上银行作为一种新型的银行服务渠道,成 本低廉,交易便捷,近几年发展迅速,但由于网上银行系统用户终端处 于不受控的环境之中,近年发生过多起因仿冒网站、木马、病毒攻击而 导致的安全事故,引起大众媒体的炒作。网上银行系统应加强用户教 育、终端安全控制、客户身份识别、服务器及网络安全管理,应定期聘 请权威机构对系统安全性进行检测并及时加固,要加强内隔离控 制措旌,建立纵深防御机制 (六)银行卡系统。银行卡一直是案件高发领域,常见犯罪手段有 通过高科技手段盗取银行卡信息、制造假卡、恶意透支等,引起社会广 泛关注的许霆案,也是因为ATM机失灵引起的。商业银行应加强 ATM机具、POS机具、POS商户、POS通讯线路、信用卡发放以及使用 的监控和管理。同时,应采取有效措施控制国内未完成EMV迁移带 来的风险,防止国际信用卡犯罪集团作案 四、商业银行信息科技管控风险的主要表现 (一)系统灾备机制不健全,应急预案不完善。一是商业银行系统 备灾机制不健全。虽然各机构都建立了系统备份机制,但部分机构对 路由器、核心交换机和主机系统没有采用双机热备的方式,而是采用 冷备份,一旦出现故障,需手动启动备机,用时20—40分钟,将直接影 响业务处理的连续性;部分机构备份的前台数据,没有实现异地存放; 地方法人机构没有设立灾备中心等。二是商业银行的应急预案仅停 留在形式上。各机构尽管制定了系统应急预案,但仍有部分机构从未 进行过应急演练;部分机构应急预案涵盖面过大,缺乏针对性和操作 101— 金融财经 金卡工程·经济与法 2008年9期 性,影响应急预案的实效。 (二)商业银行信息系统建设实行外包机制,潜在风险较为突出。 是商业银行由于人力资源紧张,开发能力不足,将全部的核心业务 系统开发、网络及防火墙的安全策略配置委托给外包公司,且对外包 公司缺乏有效的管理 造成大量系统核心源代码、关键配置信息为外 部人员所掌握,科技信息系统安全缺乏保障,银行机构在委托IT企业 研发业务系统时,从安全角度对IT公司提出了一系列约束条款,但IT 企业人员使用流动性较强,IT企业对开发人员的管理与约束效果如 何,商业银行难以控制,加大系统运行的风险及后期维护的难度。二 是公用平台软件引进缺乏源代码,一方面导致银行不能根据本身需要 进行优化,另一方面导致对系统存在的漏洞不能及时有效地维护,只 能被动地接受补丁程序。三是由于相关监管法律法规不健全,导致有 关金融信息安全的监管要求缺乏操作性,如对商业银行何种业务可以 外包,何种业务不可外包,何种业务经过批准可以外包等都缺乏清晰、 明确的规定。四是商业银行对项目开发质量缺乏有效控制,造成对软 件开发严格项目管理不够严格,形成软件质量难以保证,投产的系统 可能存在缺陷。 (三)日益增多的应用信息系统未实现有效整合,系统安全风险加 大。随着商业银行科技信息化建设步伐的加快,新的管理理念与管理 流程不断更新,商业银行各类应用信息系统也随之不断推陈出新,不 仅内部信息系统开始膨胀,与行外部门间构建的系统连接也开始增 多,形成互不兼容的业务网络系统大量同步存在。为了不影响业务正 常运行,各商业银行机构只能不停地对系统”打补丁”、添置硬件设备 和网络线路,以缓解内部业务系统间的不兼容性。系统开发的无序性 造成业务系统功能冗余、设备使用低效,在一定程度上也加大了信息 系统的安全风险。 (四)科技软硬件基础设施薄弱。一是核心设备存在单点故障隐 患和性能不足问题。部分商业银行网络存在单点故障隐患,核心路由 器只有一台,一旦出现故障,将直接导致核心网络系统瘫痪,商业银行 业务无法开展,造成声誉风险和经济损失。有的商业银行机构核心主 机虽然有双机互备,一旦核心主机出现故障,另一台核心主机性能无 法满足正常业务系统运行要求。二是一些地方法人机构尚未实现数 据异地实时备份,未建立异地灾各中心,一旦出现重大灾难事故,数据 无法及时完整恢复,业务无法持续办理。三是机房建设不达标。部分 商业银行的核心机房极其简陋,甚至未达到国家机房建设的最低标准一 C级标准 机房未配置专用的灭火设备,未设置消防安全通道,没有 专业温湿度控制,未安装漏水检测装置,一旦发生火灾等突发事件,后 果将不堪设想。 (五)信息系统运行保障能力不足,存在数据备份损毁的风险。一 是部分商业银行对信息系统运行保障工作重视不够,未建立健全信息 系统运行巡查制度,机房运行、CPU及内存等监控软件没有得到应用, 无法及时发现机房、主机、数据库等系统运行的异常情况及故障。二 是个别商业银行数据备份只采取单一的文本备份方式,每天仅将核心 业务数据的备份存于普通个人电脑硬盘,一个月才刻录到光盘一次, 存在数据备份损毁的风险。三是有的商业银行未针对系统运行的薄 弱环节制定应急预案,从未对备份数据进行有效性检验和恢复演练, 备份数据的可恢复性难以保证。 ’ (六)信息系统安全存在风险隐患。一是信息科技内控不严。一 些地方法人机构不同程度地存在系统运行岗、维护岗人员交叉以及数 据库维护岗与核心业务系统维护岗交叉的情况,维护人员权限过大; 对业务系统核心数据的修改把关不严,未通过专用数据维护软件进 行。个别商业银行简单的客户信息变更也要科技人员直接进入后台 数据库修改,并且存在单人修改核心数据的情况。二是网络及数据安 全存在隐患。个别商业银行虽对生产网络、办公网络、互联网、外联机 构网络采取了隔离措施,但风险防范强度不够,仍存在病毒传播、拒绝 服务攻击、木马植入等风险。 (七)预警监测体系亟待完善。大部分商业银行只对机房环境、主 机和网络设备实现了实时预警监测,有的机构完成了关键业务系统的 实时预警监测,但都没有形成一套完整的从硬件设施到业务系统的信 息科技风险预警监测体系,对信息科技风险很大程度靠人工检查和监 测,风险预警监测的自动化程度、可靠性、及时性还处于极低的水平。 另外,信息科技风险预警监测的人员保障、报告制度等方面也需要进 步完善。、 (八)科技信息衍生品风险管理不到位。当前,有关银行卡方面的 投诉、纠纷、案件频发,通过ATM机取现或网络转账等形式而发生的 制和事后有检查,将技术防范为主的被动信息安全工作,转变为以预 防为主的主动信息科技风险管控。 (一)加强对商业银行业信息科技风险管控工作的组织领导。商 业银行的董事会、监事会和高级管理层要对本机构信息科技风险负 责,建立全系统自上而下的信息科技风险管控体系,落实信息科技风 险管理和防范责任,内外合力,齐抓共管,处理好业务发展与信息科技 风险防范之间的关系,加大对信息科技的投入,积极采取措施消除信 息科技风险重大隐患。高度重视科技队伍建设,打造~支稳定、团结、 高效的科技队伍,要加强复合型人才培养,有针对性地组织对信息科 技人员培训,加大人才引进力度,有效集成人力资源,建立与信息科技 风险防范相关的激励和奖惩机制,形成信息科技风险防控合力,为商 业银行业务发展和科技风险的管控提供强有力的人力保障。 (二)加强对信息科技重点环节的风险防范。一是要提高信息系 统运行保障能力。加大科技软硬件设施投入,消除单点故障隐患。完 善各项管理制度,制定应急预案并组织演练,提高抗风险能力和突发 事件应对能力。二是完善信息系统安全运行体系。对机房、网络设 备、主机设备、网络及数据访问、科技人员操作风险等方面进行全面安 全评估。设立信息科技风险管理部门及岗位,严格执行开发、运行、维 护等岗位分离及关键岗位的AB角配备,完善相关管理制度。三是加 强项目外包风险管理。对外包公司的规模、技术水平、业务保障能力、 保密等进行全面评估,在外包合同中明确要求外包公司提供系统核心 源代码及相关信息。尽快提高银行科技人员核心业务系统自主开发 能力和系统安全策略自主配置能力。四是加强业务系统风险管控。 对由于IT系统的缺陷和不足引发的案件,要总结教训并认真整改,做 到人员控制、制度控制、系统控制三到位。 (三)健全灾备机制,确保业务连续运行。商业银行在数据大集中 后,仍应注重保证本地使用数据的安全性,对一些数据要求相对高的 交易数据,应采用硬件双机备份或者应用程序备份方式。法人机 构应加快异地灾难备份中心的建设,确保数据的安全性、完整性;在网 络灾备方面,暂时没有条件启用主网和辅网双路并行的机构,可选择 在同一区域不同网点分散租用不同网络供应商线路的方式,缓解突发 故障造成的影响。 (四)提高信息系统整合度,优化各类系统。随着信息系统的增 多,必然导致安全隐患的增加,因此商业银行应对已上线的、准备上线 的、计划开发的各类信息系统进行优化整合,在全面完成业务数据大 集中的基础上,建立适应客户需求变化的信息资产风险管理统一框 架。要大力整合现有业务流程、数据信息、数据应用和数据控管等,尽 量合并功能重复的信息系统,减少内部和外部的连接数量,优化彼此 关联的信息系统,提高信息系统安全系数。 (五)加强科技信息风险监管,提升风险管控能力。一是监管部门 要迅速探索建立商业银行信息资产风险监管标准体系,着重解决商业 银行信息资产风险评估与定价标准,按业务系统性质及其资产价 值、网络运行特性以及运营商素质等方面内容,科学划分信息资产风 险级别与管理要求。二是应迅速建立商业银行信息资产风险监管法 规体系,从系统开发、使用、维护、管理以及网络运营商与IT公司的资 质、素质等各个层面提出相关指引,确保系统从研发到使用全过程合 规合法。三是要进一步加强科技信息风险现场检查。基层商业银行 由于自身风险防范能力薄弱,是风险隐患的多发部门,监管部门应定 期检查、评价银行业机构科技信息系统运行情况、风险程度,发现问题 及时督促整改。 (六)强化内控,拾遗补缺。一是商业银行要按照银监会《银行业 金融机构信息系统风险管理指引》要求,对可能出现的管理漏洞和执 行不力等问题,查缺补漏,调整优化,严格评估信息安全内控体系的完 整性和实施的有效性。加强内外部审计监督,对信息系统的研发、运 行及退出的全过程进行审计,对可能发生的信息科技安全事故进行调 查、分析和评估,及时识别、监测和防范信息科技风险。二是加强灾备 演练,提高应急处置能力。加强风险应急和处置机制建设,稳步提高 应急管理水平。要定期进行各类应急预案的培训和演练,把应急管理 工作从技术管理层面提升到全方位、多部门齐抓共管、协调一致的工 作层面,确保极端事件发生时,能够在最短的时间内按照既定方案有 序有效处置。 参考文献: [1]赵相如,股份制商业银行信息科技应用及风险防范对策,[J]河 北金融2007.02 外部欺诈风险,特约商户非法交易或违章操作引起持卡人或发卡机构 资金损失,中介机构利用职务之便与不法分子勾结、串通作案造成的 内部操作风险随时可能出现,而基层法人机构对此却疏于防范,缺乏 有效的防范手段和措施,客户及商业银行资金安全不能得到充分保障 五、加强和改进商业银行信息科技风险管控的建议 目前,我国商业银行信息科技风险管控尚处于起步阶段,需要投 入与信息科技建设相当甚至更多的精力来进行信息科技风险的管理 和控制。商业银行应借鉴先进金融机构的良好做法和国际标准,从业 务需求出发,在组织机构、人员、技术和流程四个方面加强信息科技风 险管控,研究建立信息科技风险管控体系,做到事前有预防、事中有控 102一 【2]刘诗平,白洁纯,如何防范银行业信息科技风险事故,【z]新华网 2008.02.19 [3]郭利根,做好信息科技风险奥运专项自查工作,[Z]中国银行业 监督管理委员会网站2008.02.25 【作者简介】李东卫(1968.),男,山西和顺县人,现就职于阳泉银 监分局,经济师,大学,研究方向:经济金融理论与实践,先后在((人民 日报》、《中国改革报 Ⅸ金融时报》等报刊杂志多次发表经济金融研究 论文。
