三個轉變提升銀行信息科技治理能力

王煒+徐虔

近來，移動支付、互聯網金融、云計算等創新模式在銀行業的應用方興未艾，信息技術驅動業務創新越來越成為銀行創新的趨勢，信息技術已經從支持保障角色，轉變為銀行價值創造的重要組成部分。但與此同時，互聯網技術應用的快速發展及互聯網金融等新興模式的出現，對商業銀行的科技創新機制形成巨大挑戰，銀行轉型迫在眉睫。2014年12月舉辦的“中國銀行業信息科技風險管理2014年會暨銀行業信息科技風險高層指導委員會全體會議”要求，銀行業要處理好安全與自主、替代與轉型、風險與創新的關系，做好頂層設計，實現“從封閉向開放、從粗放向精細、從失衡向平衡”三個轉變，提升信息科技治理能力。

力推自主可控

銀行業自2012年提出“自主可控、持續發展、科技創新”三大戰略以來，力推科技創新，助推發展轉型。

制定整體發展戰略。2014年，銀監會對銀行業關鍵信息和網絡基礎設施開展了安全評估，并向國務院報送專題報告。報告深入分析銀行業自主可控信息技術的應用現狀和存在的問題，提出了銀行業應用自主可控信息技術推進網絡和信息安全的總體工作思路和措施。

加強政策引導。《關于應用安全可控信息技術加強銀行業網絡安全與信息化建設的指導意見》（銀監發[2014]39號），作為促進國產信息技術落地銀行業的中長期政策和規劃，提出2019年銀行業應用安全可控信息技術總體比率達到75%的目標。同時，正在研究制定具體的推進指南，進一步細化工作目標和工作要求。

推進“自主可控”戰略應用落地。組織銀行業金融機構、信息技術企業和高校等成立銀行業應用安全可控信息技術創新戰略聯盟，圍繞國產信息技術應用落地的關鍵問題，開展技術合作，實施技術轉移，加速科技成果運用。依托戰略聯盟，組建技術實驗室，針對推進過程中遇到的問題和困難，集中人力、物力開展專題攻關，解決共性問題，提供解決方案，促進技術創新。逐年制定銀行業應用安全可控信息技術推進指南，對推進領域、重點信息技術和產品以及推進方案、評價指標和計算方法予以細化。組織開展銀行業應用安全可控信息技術應用示范項目。通過應用示范，為安全可控信息技術在銀行業應用落地樹立典范，提供成功案例和經驗。

構建“自主可控”的良好生態環境。核心技術自主可控是實現信息安全的根本保障，銀監會制定政策，構建銀行業應用安全可控信息技術的長效機制，建立推進平臺，大力推廣使用能夠滿足銀行業信息安全需求且技術風險、外包風險和供應鏈風險可控的信息技術;發揮市場作用，推動銀行業金融機構加快建立高效的創新體系，激發各類創新主體的積極性，推動信息化創新發展;在統籌規劃的基礎上，加強政、產、學、研的協同合作，營造安全可控信息技術研發、發展和應用的良好生態環境。

自主可控建設的成效

自主可控工作進程加快。銀監會大力推動銀行業信息科技自主可控進程，持續監測、重點推進。根據監測，全可控小型機在銀行關鍵應用系統取得突破，網絡設備、PC服務器占比翻番，網絡設備占比超過50%，安全可控的文字處理軟件普及速度加快。更重要的是，部分銀行敢于打破常規，積極探索使用新的架構和解決方案，通過架構轉型為使用安全可控信息技術留出空間、鋪平道路。

科技創新步伐加大。2014年，科技創新給銀行帶來新氣象。一是產品創新，銀行機構在理財、信用卡、小微企業信貸業務方面推陳出新，新產品層出不窮，創新速度加快;二是服務創新，銀行機構積極布局移動互聯網渠道，探索線上線下相結合的金融服務，支付方式更加多樣化，這些創新拓展了客戶群體，改善了客戶體驗，為業務發展提供了新的增長點;三是風險管理創新，銀行積極探索使用大數據等新興技術，挖掘數據潛力，改進客戶評級，優化內審系統，加強風險監控，提升預警能力，風險管理的及時性、準確性、有效性提升明顯。銀監會自主研發的EAST檢查發現系統，在建立監管數據標準的同時，促進了銀行機構的數據治理工作，體現了創新、監管和服務的綜合效能。

重點風險領域管控力度得到加強。2014年銀監會印發了《關于進一步加強銀行業金融機構非駐場集中式外包風險管理的通知》（以下簡稱《外包風險管理通知》），從防范系統性、全局性風險角度，對集中承擔信息科技外包的機構，提出了強化的風險管理要求，正在研究并即將出臺操作細則;充分發揮銀行業信息科技外包聯合監管平臺和外包自律組織作用，開展專項治理和檢查，促進行業信息科技外包風險管控水平的提升。業務連續性方面，各銀行機構業務連續性管理體系建設初見成效，特別是“真演實練”的覆蓋率和頻率明顯提升。在網銀安全風險防范方面，創新的技術防護手段和管理措施相互配合，初步形成了立體化的防御體系。

自主可控建設面臨的挑戰

當前銀行業信息科技領域面臨的挑戰非常艱巨，在網絡化的環境下，核心技術受制于人、安全威脅加劇等系統性風險將長期存在。在2014年信息科技突發事件中，存在固有的產品及技術風險，但不可否認銀行業網絡安全和信息化建設還存在諸多“內憂外患”：內憂主要表現在信息科技治理機制還不順暢，業務與科技“兩張皮”現象依然普遍，信息科技管理“重建設、輕管理，重開發、輕運維”不平衡的問題依然沒有根本改觀。外患主要表現在互聯網技術應用的快速發展及互聯網金融等新興模式的出現，對商業銀行的科技創新機制形成巨大挑戰。下一步如何調整，如何有效地保障銀行業網絡信息安全，提升信息化建設水平，關鍵是要處理好三個方面的關系。

安全與自主的關系。不能把安全和自主對立起來。盡管很多自主技術還需要進一步改進和提升，但銀行不能妄自菲薄。只有自主可控，才能真正掌握安全的螺旋上升通道。自主可控就是最大的安全，二者是統一的。銀行業應當鼓勵和參與自主創新，這不僅僅是承擔社會責任，更關系到銀行業未來的發展和轉型。對于堅持推動自主可控的銀行，監管部門將予以一定的監管激勵，不僅在信息科技監管評級中加分，還可以適當調整信息科技風險的監管容忍度。

替代與轉型的關系。推進自主可控，要避免簡單替代的誤區。簡單替代永遠只能是跟隨者。自主可控戰略的實施，給了中國銀行業一個彎道超車跨越式發展的契機。銀行要抓住機遇，通過提升科技工作水平，從而帶動業務轉型。

風險與創新的關系。無論是傳統金融還是互聯網金融，都以信息科技作為核心創新手段之一，都以更好的金融服務作為核心目標。銀行積極支持并鼓勵新技術、新產品的開發和運用，但應嚴守防范和化解風險的底線。在創新的同時，防范風險的管理機制應同步推進，董事會、監事會、高管層及相關工作人員認真履職，風險管理、內部審計兩道防線要真正起到實效，制度、規范要更新完善，創新不能無序，亡羊補牢的做法在新的環境之下不可取。

外包風險管理

銀行業與現代信息科技的融合程度不斷加深，受制于銀行自身技術能力、成本、效率等因素，信息科技外包成為銀行業信息化建設的重要模式，外包依賴度和集中度較高，特別是中小銀行機構因技術積累薄弱、人員和能力有限，基于成本和周期等因素考慮，普遍選擇非駐場外包模式。隨著銀行業信息科技外包業務發展，非駐場外包規模持續增加，外包系統性風險不斷增大。

與其他外包模式不同，非駐場式集中式外包主要依賴于外包服務商的一體化的打包服務，具有內容集成度高、資源共享程度高、服務商獨立性強以及服務機構性質多樣等特點。

風險高度集中

在非駐場集中式外包模式中，銀行業主要信息科技活動都交由外包服務商承擔，銀行無需自行建設和維護系統，內容集成度高。內容的高度集成必然導致風險的高度集中。同時，一家外包服務商往往為多家銀行業金融機構提供服務。隨著虛擬化技術和云計算的發展，這些高集中度風險的影響面將更大，傳導的速度也將更快，也更容易演化成系統性、全局性的風險。近年來已經發生多起具有集中度風險特點的信息科技事件，引起業內的廣泛關注。

監管檢查空白

雖然國外監管機構對于類似非駐場集中式外包模式的信息科技風險監管已經相當普及，但在國內，目前監管部門僅在銀行業金融機構出現相關問題或者風險事件時，才進行相關檢查。這種被動的事后行為直接導致系統性防控措施無法到位，系統性、全局性風險發生的幾率大增。

風險控制薄弱

信息科技非駐場集中式外包服務機構分為銀行類機構和社會類機構兩種。對于銀行類機構來說，其自設立之初就受到銀監會的監管，其風險管控依從的是銀行業的相關法律法規。而很多社會類機構的本質是IT類企業，因此無法受到銀監會的直接監管，其風險管控往往達不到金融級的監管要求。同時，大量中小銀行依賴于此類機構提供外包服務，涉及面更廣，對銀行業信息安全的影響也較大。

守住不發生系統性、全局性風險的底線，保持信息系統穩定運行，是非駐場集中式外包風險管控的重點工作之一。為此，針對非駐場集中式外包服務存在的突出問題，《外包風險管理通知》從防范系統性、全局性風險的角度，對集中承擔銀行信息科技活動的外包服務機構，提出了強化風險管理的要求。一方面，督促銀行業金融機構健全外包管理機制，加強過程控制和對外包服務機構的風險約束，完善外包應急預案，保障在突發事件情況下的運營秩序;另一方面，推動外包服務機構強化風險責任意識，積極采取技術和管理規范化措施，提高安全服務水平。

此外，銀監會創新工作機制，提出了外包服務機構主動申請評估的監管思路，按照自愿原則，將外包服務機構納入監管部門的風險監管評估范疇，開展常態化風險分析、現場評估和風險處置工作，制訂對外包服務機構開展風險監管評估工作的具體實施細則，加強外包系統性風險防范;充分發揮銀行業信息科技外包聯合監管平臺和外包自律組織的作用，通過外包服務機構的自我約束和自我完善，推動銀行業信息科技外包服務市場規范化和行業自律，加強正面引導，促進發展和交流，共同防范風險。2014年，銀監會還開展了銀行業信息科技非駐場集中式外包專項治理工作，要求銀行業金融機構全面自查整改，摸清風險底數，推動整體外包風險防范和外包管理水平的提升。

銀行業信息技術發展戰略

隨著互聯網日益成為創新驅動發展的力量，銀行業經營發展的外部環境正在發生著深刻變化，虛擬社會與現實社會相互融合，互聯網與經濟相互融合，這其中有碰撞，也有火花，有挑戰，但機遇更大。能否抓住機遇，推動銀行業在信息技術引領的變革中順利轉型，銀行業要切實做好頂層設計，加強戰略謀劃，實現一個提升和三個轉變。

提升信息科技治理能力現代化水平。信息科技與社會經濟融合是大勢所趨，但是真正做到相互融合，協調發展，還需要從治理層面下功夫。首先，認清規律。雖然都在銀行體系內，但銀行的金融業務和科技活動其實是兩個行當，有不同的規律，認識、掌握并尊重彼此的規律，業務和科技才能更好地協作。董事會、高管層應起示范作用，重點是敦促業務部門加強對科技活動規律的認識和理解。其次，注重建立開放彈性的企業架構、加強業務和科技的融合、保障合理的人財物投入，形成合力提升信息科技治理能力。第三，落實首席信息官制度，首席信息官要參與決策，在決策層面為業務和科技的融合架起橋梁。董事會中也應盡可能安排了解信息科技的董事。第四，加大復合型人才的培養力度，加強業務人員和科技人員的交流，形成順暢的溝通和協作機制。銀行機構應善于認識和遵循規律，抓住時機，順勢而為，從根本上解決銀行業務和科技“兩張皮”的問題，推動業務和科技的真正融合。

從封閉向開放轉變。當前的技術環境已經發生了深刻變化，信息化建設的思路和心態也應隨之轉變。開放是實現自主可控的關鍵道路，銀行機構應積極運用新技術，以開放、彈性、安全、高效為目標，規劃和設計新的解決方案。努力打造信息科技核心競爭力，培養人才，避免固步自封和生搬硬套，切實做到自主掌握核心知識和關鍵技術。以開放共贏為合作原則，既要把握話語權和主動權，也要實現優勢互補、合作共贏。

從粗放向精細轉變。把握信息科技工作的規律是實現銀行業科技轉型的關鍵。細節決定成敗，應重點關注四個體系建設的精細化：業務連續性管理體系，重點解決片面依賴科技的問題，提升業務參與度。信息系統開發體系，抓好研發過程中的風險和質量管控，解決系統先天不足問題。運維管理體系，重點抓好投產變更的風險控制，提升運維的透明度和自動化水平，不留死角。信息安全管理體系，從單一的安全管理過渡到基于風險的立體防范體系，重點加強風險感和響應的動態性。

從失衡向平衡轉變。銀行業信息化建設中不平衡、不協調的矛盾還很多，“兩重兩輕”問題依然普遍，要實現平衡發展，首先加強科技工作的整體規劃，從戰略、管理、技術等各方面努力消除不平衡現象，建立規劃與日常工作的聯動機制，增強規劃的指導性、實用性，千萬別拿規劃當擺設;其次，建立科學的績效考評和分配機制，切實考慮科技和業務發展的匹配度，實現業務與信息科技的聯動考核;最后，要遵循科技活動的內在規律，建立多層次，立體化的信息科技管理體系，提升信息科技工作的內在發展質量。

當前的銀行業信息化工作，機遇和挑戰并存，挑戰固然不小，但機遇更為可貴，銀行如果能夠把握好、運用好信息科技變革浪潮的機遇，形成競爭優勢，將提升銀行業信息科技治理能力現代化水平，夯實銀行業網絡安全基礎，促進銀行業信息化水平再上新臺階。