關于城商行信息科技風險管理的思考

　　金融創新步伐加快，信息技術迅猛發展，銀行業金融機構的信息科技風險逐步增大，銀行業以及監管當局日益重視信息科技風險的管理和監管。巴塞爾新資本協議明確地將操作風險納入資本監管的范疇，而信息科技風險是操作風險的重要組成部分。為加強我國商業銀行信息科技風險管理，中國銀監會2009年正式發布了《商業銀行信息科技風險管理指引》，適用于境內依法設立的法人商業銀行，其他銀行業金融機構參照執行。
　　盡管近年來城商行資產規?？焖贁U張，跨區域經營，獲得了突飛猛進的發展，風險管理理念和信息技術水平得到了有力提升，資產質量得到了有效改善。但由于脫胎于城市信用社，受制于總體規模較小，地域性強，創新不足，信息技術落后等因素，整體上風險管理水平和能力相對于大型銀行和全國股份制銀行依然偏弱。尤其是對于信息科技風險管理的重視程度有待進一步提高，信息科技風險管理的方式方法有待進一步改進，信息科技風險管理的體制機制有待進一步完善。
　　
　　城商行信息科技風險特點和表現形式
　　
　　城商行發展歷程不長，正處于快速擴張階段，而且受制于規模和財務能力限制，其信息科技建設往往跟不上業務的快速發展。其信息科技風險特點和表現形式往往不同于國際活躍銀行和國內大中型商業銀行。
　　
　　信息基礎設施建設嚴重滯后于業務快速增長。按照國際慣例，商業銀行核心業務系統主機容量使用率如果超過60％的話，就需要擴大系統容量，而國內很多城市商業銀行都超過這個指標。更為明顯的是，某城市商業銀行2008年發生的柜臺交易緩慢，業務持續一個多小時無法正常進行，僅僅就因為主干網線的入戶接入設備發生故障。
　　
　　城商行大多沒有明晰的信息科技風險管理架構。首先，很少有城商行設置專門的信息科技風險管理機構。一般都是由科技信息部門負責信息科技風險的管理和處置，既負責信息系統和項目的開發維護，同時也負責科技風險管理，沒有對此進行獨立評價的部門和人員。信息科技風險歸口科技信息部門，風險管理部門介入很少。其次，由于財力和人力的限制，城商行一般都根據自身能力落實信息科技風險管理，沒有設立獨立的信息科技風險機構和人員，沒有建立完善的信息科技風險事故報告、監測和應急機制。
　　
　　城商行信息科技風險專業人員缺乏，而且配備不足。首先，信息科技風險是金融業務與信息技術結合的產物，專業人員需具備綜合能力，既要熟悉銀行基本業務，也要熟悉信息系統架構和技術。城商行一方面專業人員缺乏，另一方面，各銀行之間對于高層次人才的爭奪也十分激烈。城商行在科技人才的競爭中處于不利地位。其次，城商行科技人員配備不足。國內商業銀行科技人員配置比例一般是2％～2.5％，而大型銀行的人員配置比例更高。據報道，國內某城商行如果按照2.5%的人員配置的話，應該至少需要科技人員200人，而該城商行全轄只有45個專業科技人員，遠遠低于國內銀行平均水平。這在業務快速發展的城商行界非常普遍，因為城商行還是不同程度地存在著重業務發展，輕風險管理的現象。
　　
　　城商行信息科技服務外包管理有待完善和規范。由于受到規模和技術力量的限制，城商行的信息系統開發一般都是外包給技術廠商，特別是有些系統的維保等也是外包給廠商的。但是城商行平時應用較多的應用系統，如核心業務系統、信貸業務系統和網上銀行等，均需要在廠商成熟產品的基礎上，再進行個性化的開發或者優化，專業化程度高，城商行自身科技人員難以滿足開發的要求，外包存在一定風險，需要規范科技信息外包管理。此外，服務外包合同條款，外包商的服務水平評估，外包風險的應急措施及防范，以及外包管理的審核、管理機制等均有待完善。
　　
　　城商行信息科技風險管理的經驗介紹
　　
　　隨著國內城商行的快速發展，信息科技風險管理越來越得到城商行的高度重視。一些優秀的國內城商行在信息科技風險管理方面也取得了驕人的成績，歸納以來，主要有以下四點。
　　
　　城商行的“兩會一層”等高級管理層要高度重視信息科技風險管理工作。在信息技術高速發展的時代，銀行開展任何業務、風險管控和管理創新都離不開信息科技，而信息科技的廣泛應用，必然會帶來信息科技風險。而信息科技風險的產生不但會影響正常業務，產生直接損失，而且會產生聲譽風險。重視信息科技風險管理不光是思想上，或者是口頭上，更要落到實處，即是在人力、物力和財力上予以保證。
　　
　　順應監管要求。建立完善的信息科技風險治理架構。明確信息科技風險管理的主責任人，
　　“兩會一層”以及首席信息官的相關職責，設立或指定一個特定部門負責信息科技風險管理工作，直接向首席信息官報告工作，明確風險管理部門、信息科技部門以及內部審計等相關部門在信息科技風險管理中承擔不同的角色和職責，構建既相互協作，又獨立開展工作的信息科技風險管理架構。
　　
　　借助外在力量加強信息科技風險管理。城商行由于缺乏專業人才，難以對自身信息科技風險作出準確、科學的識別，更難以做出根本性的改善。應委托具備相應資質的外部審計機構定期進行信息科技風險外部審計，并及時根據外部審計機構的建議，對相關風險問題和風險點進行整改。按照《商業銀行信息科技風險管理指引》，外部審計也是信息科技風險管理的事后控制，即第三道防線的重要組成部分。外部審計在城商行風險事前防范和事后控制上發揮著重要作用，比如前期媒體披露發生“特大偽造金融票證”案的某城商行，在之前的外部審計中，就被審計機構出具了存在騙貸風險的保留意見。
　　系統項目建設和信息科技服務的外包，也是充分借助外在力量的體現。但是，銀監會信息科技風險管理指引明確要求，商業銀行不得將其信息科技管理責任外包，即應合理審慎監督外包職能履行，應從外包方選擇、外包談判、協議簽訂、外包過程中的信息安全等方面提出明確要求。從城商行來講，就是要完善外包管理辦法，從外包服務職責、內容、資料移交、年度考核、驗收、風險管控等環節制定外包制度和辦法。此外，還應探索服務外包方式，購買原廠商技術服務，引進廠商的專業服務和智慧，提升城商行系統運行的穩定性。
　　
　　完善培訓激勵機制，加強信息科技風險管理隊伍建設。人才是城商行的短板，而信息科技風險管理人員專業性強，屬于復合型人才。城商行首先應引進專業人員，提升系統開發和維護的能力。其次應適當招聘后備人才，建立梯隊信息科技力量，加強培訓，逐步使其熟悉銀行業務以及相應信息系統架構和技術，通過以老帶新、項目鍛煉等方式增強其技術水平和綜合能力，培養自身的信息科技人才。最后，應努力完善激勵機制，建立專業技術人員職業發展通道，提高信息科技人員的工作認同度和積極性。
　　
　　城商行信息科技風險管理的對策建議
　　
　　城商行必須明確自身的市場定位，從自身業務特點出發，按照監管要求，建設具有自身特色的信息科技風險管理體系。
　　首先，城商行應盡快樹立并強化信息科技安全風險意識。必須意識到，銀行業對信息科技高度依賴，信息技術系統的安全性、可靠性和有效性直接關系到銀行業的安全和金融體系的穩定。不僅各級領導，信息科技條線的員工，而且全行各條線員工都應該樹立和強化信息科技風險意識，防范信息科技風險。
　　其次，城商行應明確信息科技安全第一責任人的意識，董事會、監事會和高級管理層必須對整個信息科技風險負責，制定并指導全行執行信息科技風險管理政策，有責任建立覆蓋全系統，自上而下的，由信息科技部門、風險管理部門、內部審計部門等相關部門共同參與的信息科技風險管理體系。
　　第三，城商行應有科學合理的信息科技風險管理戰略發展規劃。城商行應找準自身市場定位，結合業務特征，根據信息化發展趨勢，以及監管部門的合規要求，制定科學合理的信息科技專項規劃，在總體規劃的基礎上，逐步開展信息化建設，避免重復建設和信息孤島產生，加強信息科技風險管理的系統性和有序性。
　　第四，城商行應強化各相關部門聯動協作，建立完善信息科技風險管理的三道防線，共同做好信息科技風險管理工作。三道防線是：由策略保障體系、組織保障體系和技術保障體系構成的完備的信息科技風險管理體制和基礎安全控制設施，形成信息科技風險事前防范的第一道防線；由運營保障體系構成事中控制的第二道防線；由應用恢復保障系統與內外部審計部門構成事后控制的第三道防線。此外，還應建立和完善信息科技風險監測、識別、報告、預警和處置的相關程序和制度。完善信息科技風險應急處置預案，并定期進行應急處置演練。
　　第五，城商行應制定和完善各類有效的信息科技管理制度，優化信息科技風險管理流程，提高制度約束的執行力水平，不斷完善信息安全管理機制。尤其是要加強信息科技服務外包和項目系統建設外包的規范化管理，要突出防范由外包可能帶來的信息科技風險。
　　第六，城商行應加大對信息科技基礎設施的建設投入，保障業務快速發展的信息技術支持。在信息科技系統不能滿足業務發展需求時，應適當放慢業務擴張的進度，保障業務發展規模和風險管控能力的協調一致。尤其是，城商行異地經營，跨區發展的時候，更會對總行的信息科技系統支持、信息科技風險管理水平和能力提出更高的要求。
　　第七，城商行應加大信息科技風險管理人才的引進培養，加強隊伍建設。城商行信息科技風險管理水平的提高不僅要靠加大基礎設施投入，更應該依靠信息科技風險管理專業人員水平和綜合素質的提高。只有在加強自身人才隊伍培養的基礎上，充分借鑒和借用外在力量，才能保障和提升城商行自身的信息科技風險管理能力和水平，保障信息科技安全。
　　
　　責任編輯：王