信息技术进步与商业银行风险管理
时间:2007-09-25 01:30:01 来源: 作者:佚名 &nbs
从我国银行业的发展看,信息技术进步与应用是一个逐步提高、加快发展的过程。当前,银行已经将信息技术应用于经营管理的各个方面,现代信息技术也把银行业数字密集和时间价值的基本属性发挥得淋漓尽致,使银行的经营管理发生了翻天覆地的变化。如果仅仅从商业银行风险管理的角度进行审视,则信息技术是“双刃剑”,它既为商业银行改进风险管理提供了极大便利,又为商业银行带来了新的风险因素,增加了风险管理的难度。
一、信息技术应用提出商业银行风险管理全新课题
1、危及“信息资产”安全的风险。现代信息技术的应用,使银行业务和服务流程虚拟化、数据化,客户和银行的资产以及客户与银行之间的交易凭据都以数据的形式存储于银行的业务系统之中,对这种虚拟化、数据化的资产,有人形象地称之为“信息资产”。客户把手中的“真金白银”存放到银行变成“信息资产”,其最担心的就是看不见、摸不着的“信息资产”是否安全。这也正是银行所要高度重视的。从某种意义上讲,“信息资产”是银行最重要的资产,数据损失是银行最大的损失。由于信息技术本身的不完备或银行管理的不到位,银行的计算机环境和业务数据系统存在被自然灾害或人为有意无意破坏的可能,应用系统、操作系统、硬件平台与复杂的网络结构任何一个方面出现问题或受到破坏,都有可能危及“信息资产”安全。
2、造成持续服务中断的风险。现在银行高度依赖信息技术,已经到了缺少信息技术就寸步难行的地步,然而任何技术都不可能十全十美,集中处理信息系统的任何一个环节包括主机设备、存储设备、网络设备、操作系统、数据库系统、应用系统或通讯线路等,都可能有这样或那样的缺陷,都有可能出现故障,一旦这个缺陷和故障暴发出来,就很可能影响到银行业务的正常运行,甚至可能造成全行范围的服务中断,从而影响到银行对外服务的持续提供。
3、过份依赖外部技术支持的风险。电子信息技术更新快,投入大,专业技术要求高,目前银行的许多应用系统通常都是三、四种复杂技术的组合,银行不可能也没有必要每项技术都自我开发、自给自足,依靠外部技术力量是不可避免的。随着越来越多地从外部供应商获得银行经营管理所必需的信息技术,包括硬件设备、软件系统等,银行就越来越多地感到担心。
4、缺乏法律保障的风险。市场经济是法制经济,由于信息技术更新、应用速度非常快,立法往往落后于实践,商业银行在提供电子银行产品时经常会陷于无法可依的局面,如果因此而产生商务纠纷,相关产品和服务就得不到法律的有效保障。
二、防范化解商业银行技术风险的基本思路
1、科学制定技术风险管理策略。商业银行必须将技术风险管理提升到战略高度来认识和执行。商业银行是高负债经营的高风险企业,内部控制和风险管理在其经营管理中处于至关重要的地位。随着信息技术应用越来越广泛、商业银行对其依赖程度越来越高,如果技术风险得不到应有的重视,就将对商业银行产生广泛而深远甚至是灾难性的影响。商业银行在借助信息技术确立竞争优势的同时,必须严格控制由信息技术所带来的风险。为此,商业银行应制定和定期评估信息技术风险管理战略,根据战略规定相应的风险管理政策,用以指导技术风险管理实践。商业银行的技术风险管理策略至少应包括以下内容:一是数据安全策略,确保信息技术功能完善、设计严密、安全可靠;二是运行监控策略,确保及时发现并处理技术运行中出现的各种故障和问题;三是技术外包策略,确保能够控制因使用外部供应商的产品和服务而带来的各种风险;四是审计评估策略,确保全行特别是决策层对技术风险状况有比较全面、正确的了解和认识。
2、做好安全控制,确保数据安全。电子数据是银行防范技术风险的核心,技术风险管理必须以保证电子数据安全为首要任务。为此,应推进网络安全建设,做到银行内部办公网、业务系统运行网和互联网的相互分离,建设入侵检测防火墙,阻止非授权的个人和系统的入侵和破坏。分析评估各个业务系统的交易能力、所储存数据的敏感度和价值以及客户使用认证方法的难易程度,从而确定采取哪种或哪几种方法(包括个人身份证号码、密码、智能卡、生物测量技术和数字证书等),对通过互联网与银行发生业务的客户进行身份和授权情况识别和认证,防止非法逻辑或物理入侵,保护产生原始凭证或传递业务信息免受数据接收人的虚假否认,或者保护接收人免受数据传递人的虚假否认。强化银行内部授权、分责的制衡机制,确保数据录入与复核之间、技术开发与管理之间、系统运行与监控之间有比较完善的分工和制衡,并建立必要的授权制度,防止单个员工或外包商单独进入和完成一笔交易。做好数据保密工作,确保银行的保密数据和记录,只有经过适当授权和身份认证的个人、代理或系统才能获取,对所有获取保密数据的行为都必须记入日志,并且确保这些日志不被篡改。
3、健全技术风险评估和系统运行监控。任何技术不管其功能如何强大和完善,都不能绝对保证在使用过程中不出现问题,如何预防或及时发现并解决技术使用过程中出现的问题,是防范技术风险的一个重要环节。为此,应对现行的技术风险政策和程序进行评估,确保这些政策和程序的完善性、持续性,使其可以解决当前或计划之中的信息技术带来的新风险。对所采取的安全措施和控制措施进行定期检查和测试,包括对当前信息技术安全发展情况的持续跟踪,软件的适当升级,以及服务外包和其他必要的措施的采用。建设全行技术总控中心,改变利用人为手段进行监控管理的现状,建立一套开放、高效的计算机运行实时监控系统,实现智能化的监控与管理,实时接收、反馈系统运行信息,动态监控骨干网、局域网、核心设备、前置设备、场地设备的运行状态。制定适当的突发事件应急计划,开展应急演练,提高灾难应急响应能力,限定电子银行服务中断所造成的责任,控制和尽量减少意外事件造成的各种难题。构建互为备份的远程灾难备份中心,完善主机数据的传输管理和备份管理,依托备份系统和磁带库技术,建立当前数据、历史数据及各应用系统软件的备份策略及方案;建立前置机的备份机制,加强关键系统前置机的管理。
4、加强技术外包管理。在越来越多地利用外部力量提升自身技术水平的同时,必须重视并管理好由技术外包所带来的各种风险。为此,应充分了解和评估技术外包会带来哪些风险,并针对这些风险采取必要的防范措施。根据技术长远发展规划和现实需求、财务承受能力、已有的技术外包商等情况,合理确定哪些技术需要外包以及新选择什么样的外包商,所选择的外包商应符合商业银行自己制定的风险管理、安全和隐私保护政策的标准。在签订有关协议、合同之前,对技术供应商或合伙人的技术能力、管理水平和财务状况进行适当的尽职调查,在合同条款中应当非常明确地规定各方的责任。对技术外包进行定期独立的内部或外部审计,不断总结积累技术外包经验。
来源:金融时报
一、信息技术应用提出商业银行风险管理全新课题
1、危及“信息资产”安全的风险。现代信息技术的应用,使银行业务和服务流程虚拟化、数据化,客户和银行的资产以及客户与银行之间的交易凭据都以数据的形式存储于银行的业务系统之中,对这种虚拟化、数据化的资产,有人形象地称之为“信息资产”。客户把手中的“真金白银”存放到银行变成“信息资产”,其最担心的就是看不见、摸不着的“信息资产”是否安全。这也正是银行所要高度重视的。从某种意义上讲,“信息资产”是银行最重要的资产,数据损失是银行最大的损失。由于信息技术本身的不完备或银行管理的不到位,银行的计算机环境和业务数据系统存在被自然灾害或人为有意无意破坏的可能,应用系统、操作系统、硬件平台与复杂的网络结构任何一个方面出现问题或受到破坏,都有可能危及“信息资产”安全。
2、造成持续服务中断的风险。现在银行高度依赖信息技术,已经到了缺少信息技术就寸步难行的地步,然而任何技术都不可能十全十美,集中处理信息系统的任何一个环节包括主机设备、存储设备、网络设备、操作系统、数据库系统、应用系统或通讯线路等,都可能有这样或那样的缺陷,都有可能出现故障,一旦这个缺陷和故障暴发出来,就很可能影响到银行业务的正常运行,甚至可能造成全行范围的服务中断,从而影响到银行对外服务的持续提供。
3、过份依赖外部技术支持的风险。电子信息技术更新快,投入大,专业技术要求高,目前银行的许多应用系统通常都是三、四种复杂技术的组合,银行不可能也没有必要每项技术都自我开发、自给自足,依靠外部技术力量是不可避免的。随着越来越多地从外部供应商获得银行经营管理所必需的信息技术,包括硬件设备、软件系统等,银行就越来越多地感到担心。
4、缺乏法律保障的风险。市场经济是法制经济,由于信息技术更新、应用速度非常快,立法往往落后于实践,商业银行在提供电子银行产品时经常会陷于无法可依的局面,如果因此而产生商务纠纷,相关产品和服务就得不到法律的有效保障。
二、防范化解商业银行技术风险的基本思路
1、科学制定技术风险管理策略。商业银行必须将技术风险管理提升到战略高度来认识和执行。商业银行是高负债经营的高风险企业,内部控制和风险管理在其经营管理中处于至关重要的地位。随着信息技术应用越来越广泛、商业银行对其依赖程度越来越高,如果技术风险得不到应有的重视,就将对商业银行产生广泛而深远甚至是灾难性的影响。商业银行在借助信息技术确立竞争优势的同时,必须严格控制由信息技术所带来的风险。为此,商业银行应制定和定期评估信息技术风险管理战略,根据战略规定相应的风险管理政策,用以指导技术风险管理实践。商业银行的技术风险管理策略至少应包括以下内容:一是数据安全策略,确保信息技术功能完善、设计严密、安全可靠;二是运行监控策略,确保及时发现并处理技术运行中出现的各种故障和问题;三是技术外包策略,确保能够控制因使用外部供应商的产品和服务而带来的各种风险;四是审计评估策略,确保全行特别是决策层对技术风险状况有比较全面、正确的了解和认识。
2、做好安全控制,确保数据安全。电子数据是银行防范技术风险的核心,技术风险管理必须以保证电子数据安全为首要任务。为此,应推进网络安全建设,做到银行内部办公网、业务系统运行网和互联网的相互分离,建设入侵检测防火墙,阻止非授权的个人和系统的入侵和破坏。分析评估各个业务系统的交易能力、所储存数据的敏感度和价值以及客户使用认证方法的难易程度,从而确定采取哪种或哪几种方法(包括个人身份证号码、密码、智能卡、生物测量技术和数字证书等),对通过互联网与银行发生业务的客户进行身份和授权情况识别和认证,防止非法逻辑或物理入侵,保护产生原始凭证或传递业务信息免受数据接收人的虚假否认,或者保护接收人免受数据传递人的虚假否认。强化银行内部授权、分责的制衡机制,确保数据录入与复核之间、技术开发与管理之间、系统运行与监控之间有比较完善的分工和制衡,并建立必要的授权制度,防止单个员工或外包商单独进入和完成一笔交易。做好数据保密工作,确保银行的保密数据和记录,只有经过适当授权和身份认证的个人、代理或系统才能获取,对所有获取保密数据的行为都必须记入日志,并且确保这些日志不被篡改。
3、健全技术风险评估和系统运行监控。任何技术不管其功能如何强大和完善,都不能绝对保证在使用过程中不出现问题,如何预防或及时发现并解决技术使用过程中出现的问题,是防范技术风险的一个重要环节。为此,应对现行的技术风险政策和程序进行评估,确保这些政策和程序的完善性、持续性,使其可以解决当前或计划之中的信息技术带来的新风险。对所采取的安全措施和控制措施进行定期检查和测试,包括对当前信息技术安全发展情况的持续跟踪,软件的适当升级,以及服务外包和其他必要的措施的采用。建设全行技术总控中心,改变利用人为手段进行监控管理的现状,建立一套开放、高效的计算机运行实时监控系统,实现智能化的监控与管理,实时接收、反馈系统运行信息,动态监控骨干网、局域网、核心设备、前置设备、场地设备的运行状态。制定适当的突发事件应急计划,开展应急演练,提高灾难应急响应能力,限定电子银行服务中断所造成的责任,控制和尽量减少意外事件造成的各种难题。构建互为备份的远程灾难备份中心,完善主机数据的传输管理和备份管理,依托备份系统和磁带库技术,建立当前数据、历史数据及各应用系统软件的备份策略及方案;建立前置机的备份机制,加强关键系统前置机的管理。
4、加强技术外包管理。在越来越多地利用外部力量提升自身技术水平的同时,必须重视并管理好由技术外包所带来的各种风险。为此,应充分了解和评估技术外包会带来哪些风险,并针对这些风险采取必要的防范措施。根据技术长远发展规划和现实需求、财务承受能力、已有的技术外包商等情况,合理确定哪些技术需要外包以及新选择什么样的外包商,所选择的外包商应符合商业银行自己制定的风险管理、安全和隐私保护政策的标准。在签订有关协议、合同之前,对技术供应商或合伙人的技术能力、管理水平和财务状况进行适当的尽职调查,在合同条款中应当非常明确地规定各方的责任。对技术外包进行定期独立的内部或外部审计,不断总结积累技术外包经验。
来源:金融时报
文章评论
共有 0位无忧审计爱好者发表了评论 查看完整内容