银行风险管理论文:加强科技风险管理保障系统安全运行
2010年7月26日,安徽省农村信用社联合社(以下简称“安徽农信”)在“一届四次社员大会”上宣布了其信息化的“三年规划”,计划用3年的时间建设具备业务集中处理、风险集中管理,能够全面覆盖各项业务工作,先进、安全、高效的计算机网络系统,接近或达到国内同行业平均应用水平。2007年5月,安徽农信核心业务系统上线运行,完成了全系统的数据大集中。然而,数据的集中同时也带来风险的集中,按照银监会于2006年出台的《银行业金融机构信息系统风险管理指引》等行业要求和规范,安徽农信在大力进行信息化建设的同时,也展开了全面的IT治理工作,努力防控信息科技风险。2009年6月1日,银监会正式颁布实施《商业银行信息科技风险管理指引》(以下简称“新《指引》”),对商业银行信息科技风险管理提出了系统、具体、可操作的要求。安徽农信逐条对照新《指引》的要求,完善了组织结构,加强了IT治理和IT服务管理,取得了一定的成绩,同时也遇到一些难题。
一、认真落实新《指引》,加强科技风险管理
(一)完善组织结构安徽农信信息科技工作组织分为三级:一是由省联社理事会直接领导下的信息化工作领导小组,负责全省信息化建设规划与决策;二是省联社科技信息中心,负责信息科技具体工作;三是县市行社电子银行部、科技部。经过4年多的建设,省联社和辖内法人行社自上而下的信息科技管理机制已经建立,科技中心内
部软件开发、生产运行、安全管理、科技管理布局清晰,各部门职责明确。按照新《指引》的要求,安徽农信成立了信息科技风险管理委员会、信息科技审计委员会、信息科技采购委员会、信息科技保密委员会、信息科技技术委员会、IT运维管理委员会等组织,并明确职责,通过分工的精细化、专业化,加强信息科技管理工作。
(二)IT治理及ISO20000建设1.建立系统运行管理的流程管理体系。对计算机信息系统的日常运行维护工作,进行流程化设计并通过技术工具进行固化,加强审批、审计管理及流程控制。通过ISO20000体系认证,使系统运行维护及服务支持达到先进管理标准,提升系统运行维护水平。通过专业的软件工具,规范并控制事件处理的流程,从事件发生、上报到问题解决,实现流程化、规范化,并记录问题处理结果,积累处理经验,更好地防患于未然。2.加强IT管理的安全,有效控制风险。一方面,开发了管理工具软件,事件、问题、变更、配置管理和发布管理实现软件控制,有效控制操作风险;另一方面,采用专业工具软件,能够及时掌握系统运行情况,检测到系统存在问题并及时报告,使问题能够得到及时处理。下一步,安徽农信将整合现有平台、建设统一的监控和运维管理平台,为业务系统提供有力的监控技术支持,提高系统运行的安全性、有效性,以及运行维护的自动化程度。
(三)灾备系统建设2008年5月至9月,安徽农信与IBM合作进行灾备系统建设总体规划,确定了以国家标准第5级灾备能力要
求为建设目标,以及“分期实施,逐步完善”的指导思想和“三步走”的建设策略,最终建成“两地三中心”的灾备体系。2008年10月,安徽农信灾备系统一期工程正式启动,历时半年多,至2009年5月,一期工程基本完成。在11月28日进行的综合业务网络系统实战灾备演练中,系统切换和回切比目标加强科技风险管理保障系统安全运行■安徽省农村信用社联合社刘科作者近照20时间提前了40多分钟,表明其灾备能力达到了5级标准。今年,安徽农信将启动二期工程建设,并逐步向实现“两地三中心”的灾备体系目标迈进。
二、科技风险管理的思考和经验总结
(一)树立信息科技风险意识随着省联社信息科技应用水平的不断提高,业务对信息科技的依赖程度不断加强,信息系统的安全性、可靠性和有效性已经直接关系到农村合作金融机构的安全乃至社会的稳定。因此,省联社各级管理层一定要尽快树立并强化信息科技风险意识,并将信息科技风险纳入到省联社整体风险管理框架内;要充分认识到信息科技风险防范不单单是信息科技部门和内审部门的事情,还需要银行全体工作人员的共同参与;要培养员工的信息科技风险意识,建立与之适应的企业文化。
(二)完善信息科技治理架构应按照新《指引》的要求,并结合自身的特点,建立和完善信息科技管理的组织架构,完善信息科技管理的“三道防线”,建立一个职责清晰、分工明确的信息科技部门并明确部门和岗位职责,层层抓好落实;要完善信息科技内控制度建
设,确保内控制度覆盖到信息科技工作的各个方面,做到信息科技工作有章可循,有规可依;要强化信息科技合规建设,把信息科技合规管理纳入到省联社合规管理框架之中,充分发挥技术部门安全检查、风险部门风险监控、IT审计部门审计监督“三道防线”的约束作用,形成完备的违规监测和纠错体系。
(三)建立信息科技风险评估和预警机制要全面落实新《指引》的信息科技风险管理,建立信息科技风险监测体系,及时识别风险因素,排查隐患,彻查各类问题的根源;要将信息科技风险控制前移,把风险管控贯穿于信息流动的整个过程,加强追踪控制;要在充分分析信息科技风险对银行业务影响的基础上,建立良好的风险分类分级制度,实施重点监控;要完善风险报告机制,加强信息科技部门与业务管理部门、省联社高管层以及监管机构之间的沟通协调,建立清晰的内外部报告路线。
(四)建立并完善信息科技风险应急处置机制要按照《银行业重要信息系统突发事件应急管理规范(试行)》的要求,加强风险应急和处置机制建设;要认真研究制定省联社信息科技风险应急管理的中长期规划,并结合自身实际,稳步提高应急管理水平;要加强信息备份、灾难恢复以及业务连续性的管理,彻底改变灾备中心成为摆设的局面;要定期进行各类应急预案的培训和演练,把应急和灾备工作从技术管理层面提升到全方位、多部门齐抓共管、协调一致的省联社工作层面,确保极端事件发生时,能够在最短的时间内按照既定方案
有序处置。
三、省联社执行新《指引》存在的难点
(一)二级法人模式使IT治理难以延伸省联社和县市联社都是法人机构,根据省政府所赋予的“管理、指导、协调、服务”的职责,省联社承担着对县市联社信息科技工作的管理职责,而县市联社又委托省联社建设和管理计算机信息系统,实际上省联社在信息科技工作方面既是运动员又是裁判员。因为地区经济发展水平、经营状况、科技水平、员工素质等不同,所以县市级法人必然存在差异,对信息科技发展的要求也不尽相同,其信息科技治理的执行水平也不会相同。省联社和县级法人行社在明晰信息科技管理职责、落实和执行新《指引》、提高整体的IT治理水平等方面,还需要做更多工作。
(二)外包服务风险约束管理有待加强新《指引》第六十一条规定:“商业银行应建立恰当的应急措施,应对外包服务商在服务中可能出现的重大缺失。尤其需要考虑外包服务商的重大资源损失,重大财务损失和重要人员的变动,以及外包协议的意外终止。”省联社按照外包服务协议对外包供应商进行监督、系统验收,实施管理及知识转移,与外包供应商签有保密协议,也制定了相应的外包服务应急管理制度。但是,由于人力、财力及经验等原因,对软件开发商的资质、财务状况和业务经营情况进行定期检查和跟踪尚不到位,对外包服务风险的有效约束还有待进一步加强。
(三)可持续发展的IT建设需要自主的科技队伍一方面,加强
IT风险管理需要有相应的专业管理部门负责信息科技的管理政策、技术标准、风险防范标准的制定,以及监督、检查和绩效评估等工作,没有专业的信息科技管理人员和专业的风险控制部门很难对其实施有效监管。另一方面,信息科技专业管理人才不足。专业的管理人才不仅要懂技术,更需要具备一定的科技管理水平,包括信息科技风险管理人员和审计人员。只有加强技术队伍、管理队伍建设,才能更好地落实新《指引》,真正以科技为先导提升核心竞争力,更好地服务金融业务发展。
银行风险管理论文:加强科技风险管理保障系统安全运行
2010年7月26日,安徽省农村信用社联合社(以下简称“安徽农信”)在“一届四次社员大会”上宣布了其信息化的“三年规划”,计划用3年的时间建设具备业务集中处理、风险集中管理,能够全面覆盖各项业务工作,先进、安全、高效的计算机网络系统,接近或达到国内同行业平均应用水平。2007年5月,安徽农信核心业务系统上线运行,完成了全系统的数据大集中。然而,数据的集中同时也带来风险的集中,按照银监会于2006年出台的《银行业金融机构信息系统风险管理指引》等行业要求和规范,安徽农信在大力进行信息化建设的同时,也展开了全面的IT治理工作,努力防控信息科技风险。2009年6月1日,银监会正式颁布实施《商业银行信息科技风险管理指引》(以下简称“新《指引》”),对商业银行信息科技风险管理提出了系统、具体、可操作的要求。安徽农信逐条对照新《指引》的要求,完善了组织结构,加强了IT治理和IT服务管理,取得了一定的成绩,同时也遇到一些难题。
一、认真落实新《指引》,加强科技风险管理
(一)完善组织结构安徽农信信息科技工作组织分为三级:一是由省联社理事会直接领导下的信息化工作领导小组,负责全省信息化建设规划与决策;二是省联社科技信息中心,负责信息科技具体工作;三是县市行社电子银行部、科技部。经过4年多的建设,省联社和辖内法人行社自上而下的信息科技管理机制已经建立,科技中心内
部软件开发、生产运行、安全管理、科技管理布局清晰,各部门职责明确。按照新《指引》的要求,安徽农信成立了信息科技风险管理委员会、信息科技审计委员会、信息科技采购委员会、信息科技保密委员会、信息科技技术委员会、IT运维管理委员会等组织,并明确职责,通过分工的精细化、专业化,加强信息科技管理工作。
(二)IT治理及ISO20000建设1.建立系统运行管理的流程管理体系。对计算机信息系统的日常运行维护工作,进行流程化设计并通过技术工具进行固化,加强审批、审计管理及流程控制。通过ISO20000体系认证,使系统运行维护及服务支持达到先进管理标准,提升系统运行维护水平。通过专业的软件工具,规范并控制事件处理的流程,从事件发生、上报到问题解决,实现流程化、规范化,并记录问题处理结果,积累处理经验,更好地防患于未然。2.加强IT管理的安全,有效控制风险。一方面,开发了管理工具软件,事件、问题、变更、配置管理和发布管理实现软件控制,有效控制操作风险;另一方面,采用专业工具软件,能够及时掌握系统运行情况,检测到系统存在问题并及时报告,使问题能够得到及时处理。下一步,安徽农信将整合现有平台、建设统一的监控和运维管理平台,为业务系统提供有力的监控技术支持,提高系统运行的安全性、有效性,以及运行维护的自动化程度。
(三)灾备系统建设2008年5月至9月,安徽农信与IBM合作进行灾备系统建设总体规划,确定了以国家标准第5级灾备能力要
求为建设目标,以及“分期实施,逐步完善”的指导思想和“三步走”的建设策略,最终建成“两地三中心”的灾备体系。2008年10月,安徽农信灾备系统一期工程正式启动,历时半年多,至2009年5月,一期工程基本完成。在11月28日进行的综合业务网络系统实战灾备演练中,系统切换和回切比目标加强科技风险管理保障系统安全运行■安徽省农村信用社联合社刘科作者近照20时间提前了40多分钟,表明其灾备能力达到了5级标准。今年,安徽农信将启动二期工程建设,并逐步向实现“两地三中心”的灾备体系目标迈进。
二、科技风险管理的思考和经验总结
(一)树立信息科技风险意识随着省联社信息科技应用水平的不断提高,业务对信息科技的依赖程度不断加强,信息系统的安全性、可靠性和有效性已经直接关系到农村合作金融机构的安全乃至社会的稳定。因此,省联社各级管理层一定要尽快树立并强化信息科技风险意识,并将信息科技风险纳入到省联社整体风险管理框架内;要充分认识到信息科技风险防范不单单是信息科技部门和内审部门的事情,还需要银行全体工作人员的共同参与;要培养员工的信息科技风险意识,建立与之适应的企业文化。
(二)完善信息科技治理架构应按照新《指引》的要求,并结合自身的特点,建立和完善信息科技管理的组织架构,完善信息科技管理的“三道防线”,建立一个职责清晰、分工明确的信息科技部门并明确部门和岗位职责,层层抓好落实;要完善信息科技内控制度建
设,确保内控制度覆盖到信息科技工作的各个方面,做到信息科技工作有章可循,有规可依;要强化信息科技合规建设,把信息科技合规管理纳入到省联社合规管理框架之中,充分发挥技术部门安全检查、风险部门风险监控、IT审计部门审计监督“三道防线”的约束作用,形成完备的违规监测和纠错体系。
(三)建立信息科技风险评估和预警机制要全面落实新《指引》的信息科技风险管理,建立信息科技风险监测体系,及时识别风险因素,排查隐患,彻查各类问题的根源;要将信息科技风险控制前移,把风险管控贯穿于信息流动的整个过程,加强追踪控制;要在充分分析信息科技风险对银行业务影响的基础上,建立良好的风险分类分级制度,实施重点监控;要完善风险报告机制,加强信息科技部门与业务管理部门、省联社高管层以及监管机构之间的沟通协调,建立清晰的内外部报告路线。
(四)建立并完善信息科技风险应急处置机制要按照《银行业重要信息系统突发事件应急管理规范(试行)》的要求,加强风险应急和处置机制建设;要认真研究制定省联社信息科技风险应急管理的中长期规划,并结合自身实际,稳步提高应急管理水平;要加强信息备份、灾难恢复以及业务连续性的管理,彻底改变灾备中心成为摆设的局面;要定期进行各类应急预案的培训和演练,把应急和灾备工作从技术管理层面提升到全方位、多部门齐抓共管、协调一致的省联社工作层面,确保极端事件发生时,能够在最短的时间内按照既定方案
有序处置。
三、省联社执行新《指引》存在的难点
(一)二级法人模式使IT治理难以延伸省联社和县市联社都是法人机构,根据省政府所赋予的“管理、指导、协调、服务”的职责,省联社承担着对县市联社信息科技工作的管理职责,而县市联社又委托省联社建设和管理计算机信息系统,实际上省联社在信息科技工作方面既是运动员又是裁判员。因为地区经济发展水平、经营状况、科技水平、员工素质等不同,所以县市级法人必然存在差异,对信息科技发展的要求也不尽相同,其信息科技治理的执行水平也不会相同。省联社和县级法人行社在明晰信息科技管理职责、落实和执行新《指引》、提高整体的IT治理水平等方面,还需要做更多工作。
(二)外包服务风险约束管理有待加强新《指引》第六十一条规定:“商业银行应建立恰当的应急措施,应对外包服务商在服务中可能出现的重大缺失。尤其需要考虑外包服务商的重大资源损失,重大财务损失和重要人员的变动,以及外包协议的意外终止。”省联社按照外包服务协议对外包供应商进行监督、系统验收,实施管理及知识转移,与外包供应商签有保密协议,也制定了相应的外包服务应急管理制度。但是,由于人力、财力及经验等原因,对软件开发商的资质、财务状况和业务经营情况进行定期检查和跟踪尚不到位,对外包服务风险的有效约束还有待进一步加强。
(三)可持续发展的IT建设需要自主的科技队伍一方面,加强
IT风险管理需要有相应的专业管理部门负责信息科技的管理政策、技术标准、风险防范标准的制定,以及监督、检查和绩效评估等工作,没有专业的信息科技管理人员和专业的风险控制部门很难对其实施有效监管。另一方面,信息科技专业管理人才不足。专业的管理人才不仅要懂技术,更需要具备一定的科技管理水平,包括信息科技风险管理人员和审计人员。只有加强技术队伍、管理队伍建设,才能更好地落实新《指引》,真正以科技为先导提升核心竞争力,更好地服务金融业务发展。