商業(yè)銀行ＩＴ部門信息風(fēng)險(xiǎn)的規(guī)避

李　煤

摘要:隨著信息相關(guān)技術(shù)的快速發(fā)展并融入到各個(gè)領(lǐng)域,使其之于銀行的意義,也就猶如空氣之于人類,IT的無處不在也使就被賦予更多的商業(yè)智能。而銀行對信息技術(shù)的高度依賴,另一方面也讓銀行信息系統(tǒng)的安全性、可靠性和有效性直接關(guān)系到整個(gè)金融體系的安全與穩(wěn)定。本文將從銀行IT技術(shù)部門的職能定位入手,結(jié)合真實(shí)案例,深入分析其在日常技術(shù)支持工作中遇到的種種問題,基于此提出我國商業(yè)銀行業(yè)IT部門如何規(guī)避信息化風(fēng)險(xiǎn)的幾點(diǎn)對策與建議,促進(jìn)商業(yè)銀行IT部門的可持續(xù)發(fā)展。

關(guān)鍵詞:商業(yè)銀行;IT部門;風(fēng)險(xiǎn)

一、IT部門在商業(yè)銀行中的職能定位及其基本特征

一般來說,商業(yè)銀行的IT技術(shù)部門主要是負(fù)責(zé)全行業(yè)務(wù)處理軟件的開發(fā)及綜合業(yè)務(wù)系統(tǒng)運(yùn)行維護(hù)。比如:根據(jù)總行的經(jīng)營規(guī)劃,負(fù)責(zé)研究、擬訂并組織實(shí)施本行電子化建設(shè)中長期發(fā)展規(guī)劃和年度規(guī)劃;負(fù)責(zé)計(jì)算機(jī)及網(wǎng)絡(luò)等設(shè)備的選型及管理;負(fù)責(zé)全行科技應(yīng)用開發(fā),制定技術(shù)開發(fā)規(guī)章制度;負(fù)責(zé)組織實(shí)施軟件開發(fā)和改良工作;負(fù)責(zé)全行計(jì)算機(jī)系統(tǒng)的建設(shè)、指導(dǎo)和安全運(yùn)轉(zhuǎn);負(fù)責(zé)綜合業(yè)務(wù)信息的匯總、分類分析和反饋;負(fù)責(zé)總行新產(chǎn)品開發(fā)委員會日常事務(wù)等等。其中IT技術(shù)類管理委員會負(fù)責(zé)管理IT技術(shù)人員,同時(shí)負(fù)責(zé)制定、解釋和修改各類專業(yè)技術(shù)職務(wù)任職標(biāo)準(zhǔn)及考核辦法。

從IT部門的職能定位中可看出信息科技在銀行業(yè)中所具有的基本特征。首先,IT信息技術(shù)為銀行業(yè)務(wù)處理搭建了操作平臺,主要表現(xiàn)在:①網(wǎng)絡(luò)技術(shù)的發(fā)展為銀行業(yè)務(wù)拓展打破了地域限制,甚至可將觸角延伸到國外;②銀行機(jī)構(gòu)業(yè)務(wù)處理模式的變化方便了客戶,業(yè)務(wù)的辦理經(jīng)過信息系統(tǒng)提供的各類渠道實(shí)現(xiàn),比如自助設(shè)備和自助銀行的出現(xiàn);③現(xiàn)代化支付結(jié)算手段密切了各家銀行的合作共存關(guān)系,銀聯(lián)公司提供的標(biāo)準(zhǔn)和人民銀行的現(xiàn)代化支付結(jié)算系統(tǒng)都為跨行結(jié)算提供平臺;④信息科技促進(jìn)了銀行業(yè)產(chǎn)品創(chuàng)新和業(yè)務(wù)創(chuàng)新,如電話銀行、網(wǎng)上銀行、手機(jī)銀行、企業(yè)銀行、自助銀行等電子銀行業(yè)務(wù),同時(shí)基于現(xiàn)代科技的多種中間業(yè)務(wù)不但優(yōu)化了銀行的收入結(jié)構(gòu),而且在代收代付、代理基金國債、第三方存管等業(yè)務(wù)上也突破了傳統(tǒng)存貸款業(yè)務(wù)的局限。其次,為銀行管理信息化的實(shí)現(xiàn)提供了保障,比如:集中式信貸管理系統(tǒng)、人事管理信息系統(tǒng)、財(cái)務(wù)管理信息系統(tǒng),代理業(yè)務(wù)分析、支付信息分析、銀行卡業(yè)務(wù)統(tǒng)計(jì)分析等都分別從內(nèi)部管理和業(yè)務(wù)經(jīng)營分析方面為銀行管理提供了信息平臺。最后,其為各商業(yè)銀行的戰(zhàn)略決策提供依據(jù),一個(gè)完善的信息系統(tǒng)包括了數(shù)據(jù)采集、數(shù)據(jù)提取、數(shù)據(jù)加工、形成決策報(bào)告和對外信息披露等決策子系統(tǒng),為銀行管理層的戰(zhàn)略決策提供強(qiáng)有力的信息依據(jù)。

二、當(dāng)前銀行業(yè)IT部門所面臨的主要風(fēng)險(xiǎn)

信息科技的不斷進(jìn)步,一方面使得銀行業(yè)信息和數(shù)據(jù)邏輯集中程度不斷得到提高,另一方面又成為銀行業(yè)穩(wěn)健運(yùn)行的一大安全隱患,其所帶來的風(fēng)險(xiǎn)主要也是來自于信息科技的軟件、硬件或是人為過失上。1997年7月,因特網(wǎng)服務(wù)提供商因?yàn)槿粘Ｒ蛱鼐W(wǎng)路由表更新新進(jìn)程的一個(gè)錯(cuò)誤,與其它的ISP失去了連接,大約45%的因特網(wǎng)用戶受到影響。2003年1月,美國銀行13000臺ATM機(jī)因病毒瞬間宕機(jī),該行客戶無法通過ATM完成存取款交易。2006年日本最大的美資銀行花旗銀行出現(xiàn)交易系統(tǒng)故障,5天內(nèi)約27.5萬筆公用事業(yè)繳費(fèi)遭重復(fù)扣劃,或交易后未作月結(jié)記錄。2007年3月19日,中行北京分行系統(tǒng)出現(xiàn)硬件故障,除自動取款機(jī)業(yè)務(wù)未受影響外,其他各項(xiàng)業(yè)務(wù)被迫中斷。我國銀聯(lián)全國跨行交易系統(tǒng)曾經(jīng)一度癱瘓6個(gè)小時(shí),國內(nèi)大部分商戶的POS機(jī)無法刷卡,所有銀行的終端無法進(jìn)行跨行操作,期間阻斷交易量達(dá)246.6萬筆,金額1287.7億元。2007年上半年瑞星公司共截獲新病毒133717個(gè),其中木馬病毒83119個(gè),后門病毒31204個(gè),兩者之和超過11萬,而這兩類病毒都以侵入用戶電腦,竊取個(gè)人資料、銀行賬號等信息為目的,帶有直接的經(jīng)濟(jì)利益特征。

縱觀各種案列,我們不難發(fā)現(xiàn)IT部門所面臨的風(fēng)險(xiǎn)主要集中表現(xiàn)在:

1、法制的不完善

我國制定的《網(wǎng)絡(luò)銀行業(yè)務(wù)管理暫行辦法》對銀行IT風(fēng)險(xiǎn)的管理問題作了規(guī)定,包括信息安全策略、物理安全、加密、防火墻、業(yè)務(wù)應(yīng)急和連續(xù)性計(jì)劃、審計(jì)、人員培訓(xùn)、重大事項(xiàng)報(bào)告制度、安全性評估等。而《銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引》的頒布,也標(biāo)志著我國將銀行信息系統(tǒng)風(fēng)險(xiǎn)正式納入風(fēng)險(xiǎn)監(jiān)管的范疇。但與其他國家發(fā)布的法律相比,我國的法律顯得較為簡略。這一方面使得國內(nèi)銀行IT風(fēng)險(xiǎn)管理缺乏指導(dǎo)另一方面,也使現(xiàn)階段對網(wǎng)絡(luò)銀行的現(xiàn)場檢查難以進(jìn)行。

2、信息技術(shù)的漏洞

各大商業(yè)銀行以信息技術(shù)為基礎(chǔ)開展的各項(xiàng)銀行服務(wù)擬為客戶提供一個(gè)隨時(shí)、隨地、隨意的服務(wù)交易環(huán)境,但由于應(yīng)用程序在研發(fā)中考慮不周或是不夠嚴(yán)密,導(dǎo)致應(yīng)用軟件在運(yùn)行中出現(xiàn)財(cái)務(wù)錯(cuò)亂、數(shù)據(jù)信息受損等。有的客戶在進(jìn)行網(wǎng)上交易時(shí),數(shù)據(jù)在傳輸過程中被泄露、篡改、偽造致使客戶信息被盜取,影響資金安全。更有甚者的假銀行網(wǎng)站、克隆網(wǎng)站或網(wǎng)絡(luò)黑客通過截獲客戶通訊數(shù)據(jù)、安裝木馬程序等方式套取用戶密碼和交易密碼,以轉(zhuǎn)移客戶在銀行的資金。

3、銀行自身數(shù)據(jù)大集中所引發(fā)的風(fēng)險(xiǎn)

信息技術(shù)突破了地域限制,銀行隨著進(jìn)行了數(shù)據(jù)大集中,而數(shù)據(jù)集中后,雖然在管理上便于維護(hù)、升級、但系統(tǒng)的架構(gòu)由此變得更加復(fù)雜,牽扯的各方面因素也比原來大大增加,很多問題由于權(quán)限問題在分行層面無法得到解決,需要向總行數(shù)據(jù)中心反映,削弱了分行的應(yīng)急抗災(zāi)能力和應(yīng)變管理能力。同時(shí),由于數(shù)據(jù)的大集中,一旦出現(xiàn)突發(fā)事故,將導(dǎo)致全行業(yè)務(wù)系統(tǒng)的癱瘓與停頓。

4、IT部門定位與管理上的不足

許多銀行的IT部門近幾年一直在努力吸收支持新業(yè)務(wù)運(yùn)行所需的新技術(shù)、新人員,但如果僅僅是將新的技術(shù)、人員組合在一起,就無法保證基礎(chǔ)設(shè)施的穩(wěn)定性和服務(wù)級別,提高銀行的核心競爭力。①銀行IT管理的有關(guān)制度與快速發(fā)展的IT部門適應(yīng),組織管理割裂,職責(zé)不清,IT服務(wù)管理缺乏流程保障,維護(hù)人員忙于救火,缺乏主動服務(wù);②IT系統(tǒng)缺乏長期規(guī)劃,更缺乏復(fù)雜系統(tǒng)的運(yùn)維管理經(jīng)驗(yàn),關(guān)鍵人員的工作變動甚至造成技術(shù)空白;③IT部門是集運(yùn)營、管理、監(jiān)督于一身的技術(shù)壟斷部門,一方面由于自身的專業(yè)性極強(qiáng),高級管理層和風(fēng)險(xiǎn)控制無法對其實(shí)施有效監(jiān)管,另一方面由于IT部門即當(dāng)裁判員又當(dāng)運(yùn)動員,集行政管理與技術(shù)管理于一身,無法勝任監(jiān)管職責(zé),而且容易產(chǎn)生責(zé)任推諉、自行其事等不良風(fēng)氣與行為;④缺乏既熟悉金融業(yè)務(wù)又精通信息技術(shù)的復(fù)合型人才,與信息科技快速發(fā)展不相適應(yīng)。

三、規(guī)避信息化風(fēng)險(xiǎn)的建議

針對我國目前銀行IT部門所面臨的風(fēng)險(xiǎn),可調(diào)整當(dāng)前銀行業(yè)信息科技風(fēng)險(xiǎn)管理工作的重點(diǎn)內(nèi)容,以通過這幾點(diǎn)建議來規(guī)避銀行業(yè)的信息化風(fēng)險(xiǎn)。

1、完善IT風(fēng)險(xiǎn)的立法

為防范IT風(fēng)險(xiǎn),確保銀行的正常運(yùn)作,我們應(yīng)借鑒發(fā)達(dá)國家的相關(guān)法律法規(guī),結(jié)合我們的具體情況,逐步建立和完善我國商業(yè)銀行IT風(fēng)險(xiǎn)監(jiān)管的法律體系?？稍趪液托袠I(yè)層次如信息產(chǎn)業(yè)部頒布的立法的基礎(chǔ)上,對已有的如《銀行法》、《票據(jù)法》等現(xiàn)有法律中涉及IT風(fēng)險(xiǎn)的法律進(jìn)行修訂和補(bǔ)充。同時(shí)制定與國際接軌的IT審計(jì)標(biāo)準(zhǔn),如可按照國際通用的信息技術(shù)審計(jì)標(biāo)準(zhǔn)COBIT,結(jié)合我國商業(yè)銀行業(yè)的具體實(shí)際情況,建立適合我國銀行業(yè)的信息技術(shù)標(biāo)準(zhǔn),以運(yùn)用IT審計(jì)規(guī)避商業(yè)銀行的信息化風(fēng)險(xiǎn)。除此之外,還應(yīng)制定相應(yīng)的IT操作指南,正確指導(dǎo)操作人員的工作,確保信息系統(tǒng)的正常運(yùn)行。