風險管理 邁入新階段

2013年美國“棱鏡”事件后，國家信息安全提到戰(zhàn)略高度，作為傳統(tǒng)IT鐵三角核心腹地的金融業(yè)，去“IOE”風盛。強調銀行業(yè)要圍繞“自主可控”、“持續(xù)發(fā)展”、“科技創(chuàng)新”三大戰(zhàn)略切實加強信息科技建設，也成為2013年銀行業(yè)信息科技風險管理年會上的討論重點。

理論上，金融機構在服務器、網絡、數據庫、中間件、應用層這五個層面實現(xiàn)由IOE遷移到國產產品是可行的。但銀行體系使用IOE近30年，短時期內實現(xiàn)遷移既有應用風險，也有技術風險。

目前來看，服務器層去IOE最難，網絡層因華為具有一定市場占有率去IOE難度最小。而在數據層和中間件層，國產產品的應用效果還未得到驗證，也存在一定難度。而銀行業(yè)關注實時營業(yè)，確保安全穩(wěn)定能力也是去IOE的一個難點。

銀行業(yè)信息科技“十二五”規(guī)劃中也強調了風險管理的重要性，因銀行服務電子渠道的多樣性對其信息安全防護也提出更高要求，要求銀行業(yè)必須全方位地在應用系統(tǒng)生命周期、數據生命周期、基礎設施環(huán)境運維等各個環(huán)節(jié)強化信息安全管理。

從農業(yè)銀行具體實踐來看，全面風險管理對其信息系統(tǒng)建設提出五大要求。一是系統(tǒng)需要從業(yè)務系統(tǒng)中抽取風險管理各類經營結果數據，并在此基礎上清洗、轉換、整合、匯總和加工；二是系統(tǒng)不僅需要支持各類風險管理模型實現(xiàn)自動計量，還需支持業(yè)務人員根據業(yè)務管理要求進行模型規(guī)則的配置和變更；三是系統(tǒng)功能要支持對計量結果進行報告、審核、發(fā)布和歸檔的風險管理日常流程；四是系統(tǒng)需要支持多維分析和靈活查詢；五是系統(tǒng)要根據風險決策結果，按照一定業(yè)務規(guī)則實現(xiàn)對生產系統(tǒng)的控制。

為實現(xiàn)這一目標，農行搭建了“統(tǒng)一門戶、統(tǒng)一入口、統(tǒng)一框架”的風險管理板塊系統(tǒng)框架，并配合新核心系統(tǒng)等生產系統(tǒng)改造，不斷完善與生產系統(tǒng)的接口。

“十二五”期間，在完善信息科技風險方面，中國銀行有四個著眼點。中國銀行信息科技部總經理劉秋萬表示：“一是健全風險管理機制，將信息科技風險納入全行風險管理框架，初步建立IT風險量化監(jiān)測指標體系；二是著力提升合規(guī)遵從能力，積極參與銀監(jiān)會信息科技評級工作和風險課題研究，并完成了網銀國密改造工作，積極開展海外IT合規(guī)差異分析、風險評估、問題整改、監(jiān)管應對及國際標準認證等工作；三是完善技術防護體系，優(yōu)化網絡保護機制，部署多層次網絡安全防護措施，完成TSM、DSM、網絡準入等數據防泄露項目全轄推廣，初步建立了全生命周期應用安全防控體系；四是優(yōu)化災備演練機制，通過融合計劃性和突發(fā)性兩種形式，通過貼合真實場景的演練方式，驗證災難恢復預案、災難恢復流程的有效性、異地災備環(huán)境的可恢復性，從而提升災備人員的應急處置能力。”

對興業(yè)銀行而言，強調自主可控和國產化也是一個持續(xù)長期的過程。“從這個角度來說，我們是股份制銀行中少數一兩家自己研發(fā)核心系統(tǒng)，并具備相應支撐能力的銀行。”黃晟表示，“從1996年，我們就開始核心系統(tǒng)的自主研發(fā)，一直堅持到現(xiàn)在。”