論商業銀行信息系統風險評估與控制

摘要：信息系統風險是在商業銀行的日常經營中客觀存在的。因此，商業銀行必須提高自身的管理與控制水平。通過闡述商業銀行信息系統風險模型，提出了相應的評估方法與風險控制措施，并提出了“持續風險管理”的理念，以及具體的操作方法。

關鍵詞：商業銀行；信息系統風險；控制

中圖分類號：F832.4 文獻標志碼：Ａ文章編號：１６７３－２９１Ｘ（２０11）05－０114－02

為了有效防范銀行信息系統風險監管，銀監會正式頒布了《銀行業金融機構信息系統風險管理指引》，以促進我國銀行業信息系統安全、持續、穩健運行。作為基層銀行，就要認真學習商業銀行信息系統的特點，建立適合商業銀行風險特征的評估模型，運用先進的風險評估方法，逐步完善信息系統風險評估的流程，并通過信息系統風險評估的手段，保障企業信息資產的安全，確保系統數據的完整，使商業銀行適應復雜的運行環境，滿足日益強化的風險管理需要。

一、商業銀行信息系統風險模型

商業銀行信息系統風險評估模型基本上可以劃分為基于業務風險控制的風險評估模型和基于信息技術控制的風險評估模型。商業銀行信息系統按業務劃分，主要業務模塊包括柜面業務系統， ATM、POS、網上銀行、電子商務支付和客服中心等，其中柜面業務子系統包括：存取款、貸款、信用卡、中間業務、國際業務、結算、代收代付等。其商業銀行的業務功能結構如圖1。

以上可以看出，基于業務風險控制的風險評估模型是針對業務流程的控制和業務的風險管理，是信息系統在規劃、研發、建設、運行、維護、監控及退出過程中由于管理缺陷產生的操作、法律和聲譽等風險[1]。

另一類是關于技術控制的風險評估模型。這類模型建立在相關的信息安全標準之上，主要考慮的是安全技術的實現架構和實現方式，并以此來評估系統的技術風險。銀行的安全架構是由物理設備安全、網絡安全、交易安全和數據完整性安全等，其中交易安全包括：密碼技術、身份認證和安全交易技術。其層次結構如圖2。

隨著信息技術應用的普及，網上銀行、手機銀行飛速發展，隨著銀行業務的拓展，各種中間業務等銀行新型業務和金融產品的出現，銀行信息系統開始不同程度向外界開放，對銀行開放信息系統的依賴越來越強。加上各商業銀行實行數據大集中，將過去保存在基層的存貸款等業務數據集中到高層數據庫存放，導致單筆交易所跨越的網絡環節越來越多，銀行信息系統對通信網絡依賴程度越來越高。

電子金融服務的發展，使商業銀行信息系統開放運行，與公共網絡連接，暴露在公共網絡具有各種威脅底下，網上銀行、手機銀行、電子商務支付等銀行新業務，在成為商業銀行利潤增長點的同時，導致銀行信息系統的風險劇增。商業銀行對信息系統的安全性要求進一步提高。

二、商業銀行信息系統風險評估方法

商業銀行在面對實際的信息風險時，需要建立定位于信息全面管理的風險評估模型。信息系統風險管理的目標是通過建立有效的機制，實現對信息系統風險的識別、計量、評價、預警和控制，推動銀行業金融機構業務創新，提高信息化水平，增強核心競爭力和可持續發展能力[1]。因此，必須兼顧業務風險模型和技術風險模型的相關方法，建立一種銀行信息系統風險識別模式，用于發現系統自身內部控制機制中存在的薄弱環節和危險因素，發現系統與外界環境交互中不正常和有害的行為，找出系統的弱點和安全威脅的定性分析；必須建立一種銀行信息系統風險評價模型，用于在銀行信息系統風險各要素之間建立風險評估，計量風險的定量評價方法。

根據商業銀行信息系統風險模型，其中基于業務風險控制的風險評估模型主要針對銀行業務具體處理，其風險識別是觀察每一筆具體的業務數據，也可以轉化為銀行資產的差錯；其中基于信息技術控制的風險評估模型主要針對安全保障技術，其風險識別是找出系統可能存在的不安全因素。據此，可以推理出系統風險評估模型為：

商業銀行信息系統風險評估模型由四個模塊組成：業務差錯識別模塊負責找出每一筆已經發生的差錯業務，其方法是通過業務差錯發現和資產調查尋找每一筆差錯業務，修正商業銀行信息系統運行錯誤；威脅分析模塊負責尋找技術安全威脅，用安全掃描來找出安全漏洞，用入侵檢測來發現受到的侵犯；安全分析模塊負責對系統設置的安全策略進行分析，對系統內部運行的軟件進行分析；系統安全評價模塊在前面三個模塊分析結論的基礎上由銀行風險因素診斷指標體系[2]得出系統安全評價量化指標。

該商業銀行信息系統風險評估模型的特點主要是：1.業務風險評估和技術風險評估同一量化構成信息系統的風險，便于系統的橫向比較；2.采用自動化的檢測評價為主的方法，對于硬件的風險和人為的風險，可以加入人工評價修正，有利于實時監控；3.系統簡潔，事前預防和事后發現相結合，可行適用。

三、商業銀行信息系統風險控制措施

通過風險評估，可以進行風險計算，計算出大致成本，控制防范風險就是要采取行動，并得到資金的支持。銀行業金融機構應根據信息系統總體規劃，制定明確、持續的風險管理策略，按照信息系統的敏感程度對各個集成要素進行分析和評估，并實施有效控制[1]。

在硬件方面控制風險，首先要選擇合適的供應商，選擇滿足安全要求的解決方案。在網絡安全方面，要將銀行內部網絡與銀行外部網絡隔離，通過防火墻或者代理服務器連接。通過隔離連接容易實現數據檢查，減少系統暴露面，發現問題系統及時報告及時處理。在銀行信息系統建設上，可以借鑒成熟的運行系統，采用成熟的信息技術，銀行業金融機構應重視知識產權保護，使用正版軟件，加強軟件版本管理，優先使用具有中國自主知識產權的軟、硬件產品；積極研發具有自主知識產權的信息系統和相關金融產品，并采取有效措施保護本機構信息化成果。[1]

在銀行信息系統運行方面，銀行業金融機構應建立健全信息系統相關的規章制度、技術規范、操作規程等；明確與信息系統相關人員的職責權限，建立制約機制，實行最小授權。[1]

銀行信息系統風險管理要堅持持續管理風險的理念，銀行信息系統風險的存在是會隨著時間和環境的變化而不斷變化，持續管理就是要跟隨環境的變化。建立持續管理策略，就是在銀行信息系統中，不斷地進行評估。不斷地實施PDCA循環，即計劃（Plan）、實施（Do）、檢測（Check）、改進（Action）四個進程。安全控制的境界不能放在不斷糾正錯誤上，應該放在預防上，就是要不斷檢測，不斷發現不安全因素，不斷地改進，使系統符合變化環境下安全需求。

參考文獻：

[1] 中國銀行業監督管理委員會.銀行業金融機構信息系統風險管理指引.銀監會313號文件，2006.11.1

[2] 雷宏.網絡銀行風險狀態診斷方法研究[J].山西大同大學學報，2009，10（5）：89.