區域網格化式檢查推進郵儲銀行信息科技風險防控

文|曹向東

區域網格化式檢查推進郵儲銀行信息科技風險防控

文|曹向東

隨著郵儲銀行體制結構的不斷深化改革，在面對競爭日益加劇的經濟金融環境下，郵儲銀行充分發揮覆蓋城鄉的網絡優勢，以打造小而精的發展思路，走低成本、差異化經營之路，不斷提高市場競爭優勢，其中包括以信息化建設為業務發展提供支柱的內部管理模式，并已實現了以客戶為中心、以會計處理為核心、以八大平臺為系統的新一代郵政金融信息系統應用架構。信息科技能力在得到不斷提升的同時，科技風險也已成為郵儲銀行內部風險防控的重點關注區域，2014年郵儲銀行建立了科技風險百項檢查內容，通過對全國36家分行按照經濟帶區域劃分為東部、中部、西部三個檢查單元網格，以總行信息科技管理人員帶頭，各劃分區域信息系統維護人員共同參與，按照三個劃分區域單元網格業務、技術力量強弱進行劃分，分別從區域單元網格中挑取三個省份作為被檢查對象，同時，檢查組各省參與成員同樣按照劃分區域技術力量強弱，進行省間人員組合搭配，進行跨區域分省檢查的方法，對各省信息科技從系統、網絡、數據、基礎設施、安全管理五個方面進行檢查。本文就該種檢查方式談幾點體會和看法。

以區域網格化式檢查促進郵儲銀行信息科技風險防控的能力

銀行是經營風險的金融機構，風險無處不在，從事銀行工作不可能回避風險，在如今銀行經營與信息化程度的粘合度不斷日益緊密的情況下，如何做到有效管理、識別、判斷和控制信息科技風險，對保障業務健康發展，提升利潤能力，從而實現經營管理效益的最大化起到了“加油站”的作用。目前，郵儲銀行三年的起步階段已經過去，監管部門留給我們的政策空間與時間所剩無幾，在《中華人民共和國商業銀行法》的統一框架下，銀監部門將嚴格按照大型商業銀行的標準要求郵儲銀行，全行以監管要求為指標、完善內控機制、提高風險管理能力的任務已迫在眉睫。自2010年以來，郵儲銀行青海省分行分別接受了監管部門、公安等各類有關信息科技風險的檢查，對我行信息科技風險管理、內部控制、審計監督等工作提出了明確要求。我行也借“合規管理年”活動和“業務行為規范年”活動的氛圍，加強了對信息科技風險的管理意識，組織部門內進行了多次自查工作，但信息科技風險防控涉及面廣、內容較為詳細，檢查內容和方式方法存在一定難度，總行抽調全行科技、風險條線專家，并結合業內先進做法，梳理了適合我行信息科技風險檢查的百項內容，為了能夠通過現場檢查的方式，有效起到互相交流、揚長避短、及時發現、及時整改的效力，總行采取了區域網格化的檢查方式，這種按照經濟區域劃分的網格式檢查具有以下優點。

一是促進了先進經驗的交流，對西部地區以及風險防控能力薄弱的地方起到了相互交流和相互指導的作用；

二是積極推動了信息科技風險防控工作，樹立了信息科技風險的權威性，贏得全行對信息科技風險管理工作的支持與遵從。

三是因地制宜，完善了差異化風險管理機制。通過按照百項檢查內容的規范、簡明適用的原則，結合各行發展實際，以實事求是進行問題分析，從源頭管控風險。

四是加強了信息科技風險防控隊伍的建設，通過抽調各省信息科技運維人員，因為運維人員是直接接觸系統的人員，作為風險防控的第一人，把合適的人放在合適的崗位，不斷壯大風險管理隊伍，實現風險管理窗口的前移。

五是通過檢查加強了教育，提高了員工綜合業務素質，通過互查、自查、培訓、交流等各種方式，提高風險防控綜合業務素質，增強全面風險管理能力。

六是結合自身實際，完善了風險管理機制。在按照法律法規和商業銀行內部控制等指引的要求下，結合我行自身實際情況，梳理出來的百項檢查內容，夯實了風險管理的基礎，提高了制度流程的執行力，推進郵儲銀行的改革發展與轉型。

七是通過檢查，提高了系統建設的風險管理水平。通過此類檢查，了解各省信息科技需求和風險防控存在的問題，在搭建信息系統時，為風險防控提供了有力的資料，從而實現從源頭控制風險的目的。

以區域網格化式檢查推進郵儲銀行信息科技改革發展

以區域網格化式檢查滿足郵儲銀行信息科技發展需求

隨著中央對金融體制改革的不斷深化，以前國際上商業銀行倒閉的事例現如今在中國經濟市場上也將有可能發生，郵儲銀行作為一家成立不久的銀行，業務發展迅猛，在面臨如今商業銀行風險日益呈現出多樣化和復雜化趨勢的情況下，傳統的思維模式和企業管理習慣已難以適應新形勢的要求，并且商業銀行風險所造成的損失也往往不再是由單一風險所造成，而是由各種風險交錯疊加而成，其影響程度和輻射面是廣泛嚴重的，其中信息科技風險所固有的隱蔽性高、專業性強、爆發的偶然性等特點，使得在防控信息科技風險的工作上加大了難度，因此我們就不能僅僅停留在以操作風險、信用風險、市場風險等單一業務條線的風險所造成的損失上，而是將各種業務條線的各種風險交織進行管理，以主動合規、主動識別、主動控制風險為目標，形成包括以信息科技風險在內的全面風險管理工作的良好局面。以區域網格化式檢查信息科技風險，正是郵儲銀行通過對信息化現狀的分析，提出的科學防控信息科技風險的方法，從而通過建立百項內容檢查以符合銀行業監管機構要求的信息安全體系。

郵儲銀行目前正面臨改革與轉型的關鍵時期，信息科技風險防控作為全面風險防控工作的重要組成部分，需要用更加科學、更加健全、并且適合自身實際的制度和方式方法，以此來探索出一條即符合監管要求的需要，又滿足適合自身健康發展需要的風險防控道路，最終支撐郵儲銀行實現向全功能大型零售商業銀行的轉型，全方位提升郵儲銀行業務的核心競爭力。

（中國社會科學院研究生院）

推行全面風險管理是郵儲銀行滿足監管要求的需要，也是郵儲銀行改革與轉型的需要。郵儲銀行要完成股份制改革、實現向全功能商業銀行的轉型，就必須嚴格按照法律法規和監管指引的要求，搭建全面風險管理體系，提升風險管理能力，實現各類監管指標的達標。信息科技風險管理作為全面風險管理的一部分，其具有專業性強、隱蔽性錯雜、影響力較大等特點，以區域網格化式推進信息科技風險防控工作，就要做到以下幾點。

一是做到意識到位。信息科技險管理不單是風險合規部和審計部的事，更是各專業條線部門與全體員工的工作，目前，信息科技風險意識不到位依舊是束縛我行風險管理能力的主要內在因素，需要我們以風險合規部為依托，開展專業條線風險檢查工作。通過廣泛的宣導、日常的檢查、密集的培訓和充分的警示教育，增強風險意識，改變傳統習慣。

二是做到機制到位。健全的工作機制是做好信息科技風險管理工作的前提和保證。銀行成立以來，在總行的正確領導和指引下，我們雖然相繼建立了信息科技風險管理委員會工作機制、信息科技風險聯絡員工作機制、信息科技安全管理人員等管理機制，并在工作中取得成效，但在信息系統操作、管理和標準上與商業銀行還存在一定差距，逐步建立風險防控為主，以規范行為為目的管理制度，是有效提高信息科技風險管理能力的重要途徑。

三是做到制度到位。完善的制度是做好信息科技風險管理工作的根本保障。只有將風險防控檢查引入制度，逐步實現檢查制度流程化、檢查內容全面覆蓋，才能有效起到各類信息科技風險的防控作用。

四是做到專業隊伍到位。風險防控工作對人才的專業性和能力程度要求很高，尤其信息科技條線的風險防控工作，充實并組建信息科技專業風險管理團隊，是實現風險管理的專業化與系統化的前提。

五是做到整改到位。目前，操作風險與合規風險是信息科技的主要風險，通過區域網格式檢查風險管理的成果很大程度上體現于整改落實的效果，所以檢查所發現問題整改落實活動，是有效推進信息科技風險管理的助力器。