■2012年第2期 ■现代管理科学 ■博士论坛 适应信息化建设的商业银行 信息科技风险管理策略 ●钱 峰 摘要:信息技术在为银行业带来巨大推进力的同时,由于其所特有的安全性、高风险、多变性和协作性等特点,也为 银行业的发展带来了新的管理问题。文章9,.-t-g息技术对金融体系的影响出发,总结分析了商业银行信息科技管理面临的 风险问题,系统地讨论并提出了银行信息化的风险管理策略。 关键词:银行管理;信息技术;风险管理 一、国内外金融业信息科技风险管理研究和探索 管理的第三方利益相关方的进入导致了更多的安全性问 纵观国内外.信息技术正以一种全新的以技术为推动 题.需要在银行和非银行机构之间建立面向新形势的信息 力的业务创新模式推进金融领域的全面快速发展 而这一 科技管理体系。以保证银行业务的安全性。 变革也蔓延到了与金融相关的管理体系中.尤其对作为金 随着信息技术向金融领域的不断渗透。针对商业银行 融业核心的银行机构来说,这一影响尤为突出。因此,为保 信息科技管理方面的讨论和研究也在不断深化。因而,有 证银行业在信息浪潮冲击下的稳步发展.建立并完善银行 必要从我国信息化建设的实际出发.建立行之有效的管理 科技风险管理体系成为商业银行信息化建设的一个重点 法规和条例 本文将针对我国银行信息化建设的现状和趋 研究领域 当前,国内外的主要研究可分为以下几个方面: 势.总结得出“十二五”期间我国银行管理体系所面临的问 1.作为信息化平台资金流通单元的电子货币的管理。 题.讨论信息技术可持续发展的新型科技风险管理策略。 电子货币出现并成为以电子设备为基础的交易平台之上 二、信息化建设给我国银行体系带来的影响 的新型流通货币。这类新型货币的出现.使得货币发行和 1.改变了传统由客户与金融机构参与的单一支付链 管理机构.由单纯的银行扩展到了更多第三方平台.包括 关系.融入更多利益相关方。 了电信运营商等非金融性机构。文献“1”详细探讨了各个 2.互联网的发展使得金融服务由物理渠道拓展到了 电子货币运营商.及其与银行业的关系.并试图给出一个 有线网络平台。由现实货币交易发展到了电子货币交易. 电子货币架构的蓝图.以将这一新型货币有效融入当前金 与此同时.凭借互联网技术、B2B和C2B技术,孕育而生了 融管理体系。文献“2”讨论了这一电子货币所带来的挑战. 第三方电子交易平台.这种不同于银行的非金融机构为客 体现着信息技术对金融业的影响和发展 参与方多样化环 户和商户提供了便捷、可靠的电子商务平台,最终开拓并 境下的金融活动授权问题 形成了网络交易渠道。而随着无线通信技术和通信设备的 由于新型金融服务平台的出现和参与方的多样化。使 不断演进.移动金融的出现使金融服务更进一步拓展到了 得金融活动的管理变得更加复杂化 这种多个授权管理机 无线服务平台.将移动运营商和移动设备供应商等非金融 构导致了跨界银行业务的管理问题 由于互联网和移动信 机构进一步融人到了金融体系之中 改变了传统的业务创 息技术的发展.客户金融交易突破了地域和时间的限制, 新方式。信息技术成为金融业务创新的推进力。 推进了金融全球化脚步.因而需要制定国际交易协定来保 从互联网的发展,到无线网络2G到4G的演变,信息 证金融市场的稳定。因此.提高信息化金融服务管理的覆 技术在不断改变金融服务模式的同时。也为金融领域提供 盖率也是管理体系中的重要组成部分 了新的创新思路。招商银行利用互联网革命,最早在国内 2.新型信息化金融服务的数据安全管理 利用信息 推出了全国通存通兑.并打造了“一卡通”和基于互联网的 技术提升金融服务的根本还在于客户的信任度.而客户信 “一网通”业务。成为招商银行迅速崛起的关键:招行利用 任度的建立就有赖于服务的安全保障 银行的业务服务更 云计算技术,设计并研发了企业手机银行。通过2G、3G和 多地依赖于信息技术,加大了金融安全的复杂性。如文献 WIFI等移动元线网接人方式.向企业级用户提供了更加 讨论了基于移动通信技术的无线金融服务的安全性和数 便捷和实时化财务管理服务.从而在电子化远程金融服务 据安全性问题。随着信息技术的发展.金融服务由物理平 领域中,占得先机。随着2000年以短信为主的移动手机银 台转向了有线和无线网络平台.从而引人了更多来自于技 行的出现,到2005年~2008年出现了以JAVA、WAP技术 术领域的安全问题。通过篡改移动运营商代码,或手机病 为主的多样化手机银行.再到2009年出现基于3G网络的 毒来窃取手机交易信息.文献指出,由于更多的不受金融 WAP手机银行。移动金融发展速度迅猛。同时.云计算的 一33— ■博士论坛 ■现代管理科学 ■2012年第2期 出现和向金融领域的渗透.为新型基于信息技术的业务创 新提供了快捷、便利的资源共享平台.大大加快了业务创 于技术的业务创新提供了一套便捷的快速开发平台.随着 它的不断发展和成熟.这一平台的支撑能力也将大大提升 新和推广速度 由此可见。将信息技术融入到金融业务创 并支持银行更快地推出新业务服务。因而,基于信息技术 新体系中已成为金融领域发展的推动力.而构建和完善相 重要保证。 三、当前我国商业银行信息科技风险管理所面临的 问题 的业务创新所具备的快速灵活的特点,要求在业务形成的 证银行创新业务的稳步发展.避免由于应用新信息技术所 导致的客户信息安全性和行业规范化方面的漏洞而引发 的行业危机 四 适应信息化建设的我国银行信息科技风险管理 策略 应的信息科技风险管理体系则是保证其稳步快速发展的 较短时间内.建立并完善相应的管理条例和措施,从而保 伴随着信息技术对金融体系的影响,相应的管理体系 也面临着重大挑战,如何提供可靠、有效的融人厂信息技 术特点的银行风险管理体系成为银行风险管理的重要工 作 当前我国银行科技风险管理体系所面临的主要问题可 归结为以下三点: 1.技术类企业、第j方平台等非金融机构与银行业的 业务服务不断融合.非金融机构融入到金融业务链条中, 加大了银行管理的广度 随着互联网技术的发展.第三方支付平台已逐渐成为 有线金融服务渠道的重要组成部分.近年来不断发展壮 大,然而问题也应运而生。2010年11月11日,由淘宝商城 年度大规模五折促销活动引起的网银集体堵塞。这是一次 银行与第三方支付平台之间缺乏有效沟通而造成技术支 持不足,从而导致银行业务无法正常运作的严重问题。与 此同时.在移动金融领域。电信运营商也不断渗透到金融 类服务中 中移动正致力于通过手机钱包业务提供小额金 融支付服务.并通过入股浦发银行来拓展其在大额支付方 面的能力。单一的业务链条转变成了多方合作参与的复杂 业务链。并随着新兴技术的不断发展.不断地涌现和融人 非金融机构参与方。这加大了金融管理的广度。 2.需要纳入银行体系之外的技术风险因素.加大了银 行科技风险管理的难度 信息技术的应用伴随着安全问题 和技术问题的不断涌现和解决.这与银行体系所要求的高 安全性和可靠性存在内在矛盾。随着互联网的迅猛发展. 网络银行成为银行业的重要客户服务渠道之一 银行已通 过安装浏览器插件、采用安全口令和U盾等技术安全举措 保证用户安全访问账户,但仍然受到数据包盗取、窃听等 安全问题的困扰;同时.正如上一部分所谈到的由于用户 访问量突增所带来的性能问题也是技术不稳定性的表现 随着移动通信技术的发展.移动金融成为各个银行竞相发 展的战略性新业务 虽然移动设备和无线网络已获得了飞 速发展,能够承担起多种金融业务服务.然而由于两者自 身还处在发展阶段.存在着各自的缺陷.尤其以安全问题 最为突出。文献从操作风险的角度探讨了银行信息化建设 的风险管理 3.信息技术应用于业务创新的推进和更新速度加快. 要求快速建立相应的银行管理体系.以保证并推动银行业 的稳步发展。摩尔定律揭示了信息技术的迅猛更新速度, 而基于信息技术的业务创新速度也随着技术的不断发展 而变得更加迅速 首先,技术的翻新速度为基于技术的业 务创新提供了更多的机会:另一方面.“云计算”本身为基 ——34—— 根据信息化对银行业的影响,可将银行信息化建设中 的问题总结为信息技术特点与现有银行体系之间的冲突。 表现为信息技术多变性与银行业务稳定性的冲突.信息开 放性安全性问题与银行业务敏感数据保密性的冲突,信息 多元化合作与银行业单一管理体系的冲突.以及渗透在上 述各点中的信息技术高风险性与银行业务可靠性需求的 冲突。 将这些信息化建设中的冲突点融入到银行风险管理 体系中.合理地探索、研究、完善冲突点的管理条例和措 施,有效地保证银行信息化建设的顺利进行,这将是创新 银行信息科技风险管理的主要目的。对应各个冲突点,重 点领域包括:信息作为支撑服务的管理、信息作为业务创 新的管理、信息安全性管理、外包规范化管理以及风险保 障。 风险管控为信息化建设下银行管理的核心内容.渗透 于各个冲突点中 因而.建议针对银行信息化建设中的信 息化业务支撑、业务发展、安全性管理和外包合作管理这 四个方面.从纵向和横向两个方面考虑.分别建立风险保 障机制、评估预警机制和应急处理机制,以全面提高银行 信息化建设中的风险管控能力 1.加强业务支撑的信息科技风险管理 用于业务支撑 的信息科技应用主要表现于银行信息系统的开发、测试和 维护.以及投入生产后的信息科技运行这两个主要领域 而在技术支撑环节,从硬件设备到软件系统,银行较多采 取由外部供应商提供的方式。因而,受限于外部供应商,而 自主建立开发和维护团队从成本到实际效用方面并不利 于银行业的发展。尤其随着云计算和移动通信平台等资源 共享平台的发展.业务支撑平台将呈现更加灵活和低成本 的技术供应.进一步让银行摆脱业务支撑方面的技术局限 性,将工作重心放在业务服务方面。因而.这一领域的风险 监控主要通过加强合作管理.制定规范化的技术合作条 例.以降低银行业在信息技术支撑方面的风险 首先,加强银行业与相关部门和机构的合作.编制规 范化的合作条例.以明确银行和相关技术供应商在技术支 撑方面的分工和职责:依据如数据管理、客户管理等较为 成熟的信息系统.联合制定风险保障、评估、应急处理等风 险管理制度;对于新信息科技的应用,要求信息技术供应 方提供新技术适用性和可行性分析.提供明确的信息风险 保障机制、评估和预警机制以及应急处理机制;定期联合 ■2012年第2期 一现代管理科学 一博士论坛 相关部门进行现场勘奁,评估商业银行的信息科技支撑情 根据银监会整体行业的信息应用规范.与技术供应方联合 况.并总结修订分工和风险管理制度。 其次.对于各个商业银行来说.组建信息技术支撑小 评定业务安全性风险等级.规划风险保障机制和应急处理 方案:与技术供应方建立风险防范计划.定期对业务安全 组.掌握支撑技术的保障机制、评估和预警以及应急处理 性进行检查。评估风险等级,进行风险保障。另一方面,定 步骤:加强与技术供应企业的联系。做到全程参与,时时管 期培训内部技术人员.加强自身技术支持团队和核心技术 理:与技术供应方建立技术培训计划,在技术应用之前,针 对技术应用、风险管理等方面对人员进行培训:在信息科 技运维过程中.定期组织银行内维护人员的培训学习.提 小组建设:对敏感性业务和客户数据采取自我管理维护的 方式,采用专人负责.时时监控的方式.定期向银行管理委 员会提交安全性风险评估报告和安全隐患.以便及时组织 人员解除安全风险 高内部对技术支撑的管控能力。 2.加强信息技术进行业务创新的风险管理。信息科 4.加强信息技术外包的风险管理 技对银行业的.重要作用主要体现在业务创新方面。从传统 的物理网点.到互联网出现而带来的网上银行,再到当前 由移动通信技术的发展而带来的新兴移动银行业务,基于 信息技术的银行业务创新将成为商业银行业务发展的重 要组成部分 不同于业务支撑部分的信息技术.这一领域往往汲取 较新的新兴信息技术。然而.即使在技术领域经过了较多 的实践论证.但投入商业应用领域还面临着摸着石头过河 的局面 因而.对基于信息技术的业务创新风险管理将是 银行业可持续发展的关键。需要立足于风险管控和业务可 持续发展的观点,建立相应的业务创新风险管理制度。 首先.鼓励银行业与技术部门进行合作.对信息技术 的应用风险划分等级:与技术部门进行协商,界定各项信 息技术的风险保障条件,风险等级,评估预警机制,以及相 应应急措施:要求商业银行提交信息技术业务创新的风险 管控计划和内部资源描述,以评定实施风险;明确基于信 息技术业务创新的管理流程和流程关键点的验收指标.采 取定期现场考察和非现场指导的管理方式:要求商业银行 定期提交实施报告和风险评估报告 其次.各个商业银行与技术供应商建立培养核心技术 小组,全面掌握用于业务创新的核心信息技术:根据银监 会所给定的信息技术等级和风险管理机制.评定自身技术 创新能力和风险等级.由核心技术小组联合技术供应商完 成风险评估和管控计划.交由银行管理委员会一致审核之 后,交由银监会评定:明确业务创新各个流程,由核心技术 小组定期向银行管理委员会提交实施报告和风险评估报 告,并按照银监会指定期限提交报告和接受定期考察。 3.加强业务安全性风险管理 信息技术的安全性风 险主要来自于信息技术本身的安全缺陷和人为安全因素 首先.鼓励银行业联合技术管理部门.制定信息技术 应用规范.明确信息技术应用过程中安全性缺陷方面的风 险保障措施、风险评级和应急处理措施:加强第三方人员 的访问管理,对核心数据和业务采取自主维护的方式。减 少外部人员访问:要求商业银行定期提交信息使用情况报 告,对信息技术应用进行安全性评估,进行非现场监督:定 期对商业银行进行现场审核,根据信息技术应用规范.对 商业银行业务安全性进行评估.指明安全性问题.敦促整 改。 其次,建议各个商业银行采取双重管理方式。一方面. 首先.鼓励整个银行业与技术管理部门联合制定信息 技术外包风险管理条例,根据技术外包规范标准,如ITIL, 制定完整的技术外包规范和整个生命周期中每个阶段的 风险保障、评估和应急措施;要求商业银行依据规范标准, 定期提交技术外包实施情况报告和风险评估报告:定期安 排对商业银行的定期审查。 其次.各个商业银行全面考核信息技术外包企业的整 体实力,评估外包风险管理;根据信息技术外包风险管理 条例,与外包企业制定技术外包计划,和管理计划;阶段性 委派内部技术人员验收和审查技术实施情况.并评估当前 风险,向银行提交风险评估报告和外包项目实施报告:定 期向银监会提交整体外包的风险评估.接受现场考察。 参考文献: 1.Y.Gormez and F.Capie.Surveys on elec— tronic money,Research Di SCUSS ion Paper S, 2000. Avai lable at:http://www.bof.fi/NR/rdonlyres/08463 641-271B-4E22-B BE4-EASDC656CAC8/0/0007.pdf. 2.E.Hel leiner.“Electtonic Money:A chal l— enge to the sovereign State?”Journa1 of intern— ational affairs Vo1.51 1998. AvailabIe at: http://www. questia.com/goog1e Scholar.qst;j ses— Sionid=02A35 34 O044F7081C7C6E76C2295F272.inst 3一la? docId=5 OO14 06720. 3.A G1obal Act iOn P1an for ElectrODi0 Bus- iBeSS.Prepared by Bus inesS wi th Recommendat ions for Government S 2002,(3):1 9. 4.Tarasewich,P.,Nickerson,R.C.and Wark- entin. i.I ssLleS in mobi1e e-commerce.Commun- icationS of the As SOCiation for Information Sy- Stems,2002,(8):41-64,49-50,52. 5.Rusu,D.and DosPinescu,0.Mobi 1e banking Services in Romania,http://www.S Srn.com,2004. 6.BCBS.Ri sk management principles for ele— ctronic banklng.2003:5. 7.吴博.操作风险管理视角下的商业银行信息科技 风险管理研究.新金融,259:32—36. 作者简介:钱峰,北京大学光华管理学院、上海浦东发 展银行博士后。 收稿日期:2 011—10-05。 一35—
