風險管理 邁入新階段

2013年美國“棱鏡”事件后，國家信息安全提到戰(zhàn)略高度，作為傳統(tǒng)IT鐵三角核心腹地的金融業(yè)，去“IOE”風盛。強調(diào)銀行業(yè)要圍繞“自主可控”、“持續(xù)發(fā)展”、“科技創(chuàng)新”三大戰(zhàn)略切實加強信息科技建設，也成為2013年銀行業(yè)信息科技風險管理年會上的討論重點。

理論上，金融機構在服務器、網(wǎng)絡、數(shù)據(jù)庫、中間件、應用層這五個層面實現(xiàn)由IOE遷移到國產(chǎn)產(chǎn)品是可行的。但銀行體系使用IOE近30年，短時期內(nèi)實現(xiàn)遷移既有應用風險，也有技術風險。

目前來看，服務器層去IOE最難，網(wǎng)絡層因華為具有一定市場占有率去IOE難度最小。而在數(shù)據(jù)層和中間件層，國產(chǎn)產(chǎn)品的應用效果還未得到驗證，也存在一定難度。而銀行業(yè)關注實時營業(yè)，確保安全穩(wěn)定能力也是去IOE的一個難點。

銀行業(yè)信息科技“十二五”規(guī)劃中也強調(diào)了風險管理的重要性，因銀行服務電子渠道的多樣性對其信息安全防護也提出更高要求，要求銀行業(yè)必須全方位地在應用系統(tǒng)生命周期、數(shù)據(jù)生命周期、基礎設施環(huán)境運維等各個環(huán)節(jié)強化信息安全管理。

從農(nóng)業(yè)銀行具體實踐來看，全面風險管理對其信息系統(tǒng)建設提出五大要求。一是系統(tǒng)需要從業(yè)務系統(tǒng)中抽取風險管理各類經(jīng)營結果數(shù)據(jù)，并在此基礎上清洗、轉(zhuǎn)換、整合、匯總和加工；二是系統(tǒng)不僅需要支持各類風險管理模型實現(xiàn)自動計量，還需支持業(yè)務人員根據(jù)業(yè)務管理要求進行模型規(guī)則的配置和變更；三是系統(tǒng)功能要支持對計量結果進行報告、審核、發(fā)布和歸檔的風險管理日常流程；四是系統(tǒng)需要支持多維分析和靈活查詢；五是系統(tǒng)要根據(jù)風險決策結果，按照一定業(yè)務規(guī)則實現(xiàn)對生產(chǎn)系統(tǒng)的控制。

為實現(xiàn)這一目標，農(nóng)行搭建了“統(tǒng)一門戶、統(tǒng)一入口、統(tǒng)一框架”的風險管理板塊系統(tǒng)框架，并配合新核心系統(tǒng)等生產(chǎn)系統(tǒng)改造，不斷完善與生產(chǎn)系統(tǒng)的接口。

“十二五”期間，在完善信息科技風險方面，中國銀行有四個著眼點。中國銀行信息科技部總經(jīng)理劉秋萬表示：“一是健全風險管理機制，將信息科技風險納入全行風險管理框架，初步建立IT風險量化監(jiān)測指標體系；二是著力提升合規(guī)遵從能力，積極參與銀監(jiān)會信息科技評級工作和風險課題研究，并完成了網(wǎng)銀國密改造工作，積極開展海外IT合規(guī)差異分析、風險評估、問題整改、監(jiān)管應對及國際標準認證等工作；三是完善技術防護體系，優(yōu)化網(wǎng)絡保護機制，部署多層次網(wǎng)絡安全防護措施，完成TSM、DSM、網(wǎng)絡準入等數(shù)據(jù)防泄露項目全轄推廣，初步建立了全生命周期應用安全防控體系；四是優(yōu)化災備演練機制，通過融合計劃性和突發(fā)性兩種形式，通過貼合真實場景的演練方式，驗證災難恢復預案、災難恢復流程的有效性、異地災備環(huán)境的可恢復性，從而提升災備人員的應急處置能力?！?/p>

對興業(yè)銀行而言，強調(diào)自主可控和國產(chǎn)化也是一個持續(xù)長期的過程?！皬倪@個角度來說，我們是股份制銀行中少數(shù)一兩家自己研發(fā)核心系統(tǒng)，并具備相應支撐能力的銀行。”黃晟表示，“從1996年，我們就開始核心系統(tǒng)的自主研發(fā)，一直堅持到現(xiàn)在?！?