中小商業銀行信息科技風險管理研究

劉志海

隨著經濟的發展和社會主義現代化建設事業的進步，我國的各行各業都進行了全面的改革和創新，這其中就包括中小商業銀行的發展。隨著銀行信息化建設的不斷發展，科技和銀行發展之間密切融合，中小銀行對信息科技的依賴程度很強，因而信息技術系統的安全性和可靠性對中小企業的影響較大，影響到中小商業銀行的發展，在中小商業銀行利用信息科技的同時，信息科技也給中小商業銀行帶來一定的風險。但是有些中小商業銀行沒有認識到信息科技所帶來的風險，在發展的過程中面臨一些困擾和挑戰。我們主要闡述了中小商業銀行信息科技風險管理研究。

風險管理現狀

有的調查顯示，在中小銀行管理的過程中，其抵抗風險的能力比較差，同時許多中小銀行處于初級發展階段，雖然在發展的過程中已經制定了長遠的業務戰略規劃，但是不重視信息科技發展戰略的制定，缺乏科技風險管理工作的指導，沒有將信息科技風險管理納入到銀行風險管理體系中，主要表現為以下幾方面。首先，不能清楚的認識到科技風險的存在，在管理的過程中存在許多的問題，對信息科技風險的認識不夠細致，日常銀行運行的過程中不重視對信息科技的風險管理，缺乏業務知識，也沒有得到相關部門的有力支持。其次，信息科技管理體系不完善。我國的中小商業銀行制定的科學管理體系和管理制度，但是在具體建設的方面還存在人員素質能力不高的問題，不重視對專門的風險管理崗位的設置，缺乏監督管理的體系。進行信息管理的過程中，分析信息科技風險的能力不足，沒有認識到風險的尺度，沒有制定統一的規劃標準和依據，不能建立風險控制和評估平臺。另外，中小商業銀行對信息科技風險評估團隊的建設不夠重視，導致整體質量發展水平差，沒有全面的了解信息安全方面的知識，從而不能有效的預測風險的存在。

風險管理目標及策略

首先為了加強中小商業銀行應對信息科技風險的能力，應該重視對風險管理有效機制的建設，能夠對科技風險進行識別、監測和控制，從而保證中小企業銀行的穩定和健康發展。通過利用信息技術等手段提高中小商業銀行的核心競爭力，為中小商業銀行的可持續發展奠定基礎，在這樣的歷史背景下，我國的中小商業銀行的發展面臨的機遇和挑戰，為了更好的促進主要商業銀行的安全運行，制定戰略規劃非常有必要，能夠探討風險管理和內部控制的具體措施，改變傳統的經營管理理念，不斷創新管理體制和發展模式。其次，通過研究可以發現，我國的金融領域還存在一些問題和風險，如管理方式粗放，風險管理存在不少問題，為此，做好新時期的金融工作非常的關鍵，在金融工作的過程中注意對風險的防范和化解，同時對金融的監控和調控，嚴厲打擊違法犯罪的行為，重視對網絡信息安全的建設，提高中小商業銀行抵抗風險的能力，避免風險的進一步擴散，并且加強信息科技風險的防范。再次，加強科技風險管理意識，滿足中小商業銀行發展的實際需求，并且為中小商業銀行的發展提供健康的環境，讓工作人員提高信息科技風險的防范意識，加強對風險管理基礎設施的建設，完善風險防控體系奠定基礎，同時還能夠保證信息科技風險管理和國際先進的地區和國家接軌，提高中小商業銀行抗風險的能力。此外，在具體的指導方面，全面建設銀行的風險管理體系，并且將信息科技風險納入到風險管理體系中，并且貫穿整個中小企業銀行的發展。完善信息科技風險管理體系，提高管理的水平，保障信息系統的安全和穩定運行。只有建立完善的規章和制度才能保證信息科技風險管控的流程化和科學化。

風險管理措施

強化信息科技風險意識

在中小商業銀行發展的過程中，信息科技風險管理涉及到的部門比較多，同時人員也包含各個層面。為此，中小商業銀行應該從多種角度和多個層次來看待信息科技風險，必須樹立信息科技風險意識，將信息科技風險納入到中小企業整體發展的規劃中，認識到信息科技風險的防范不僅僅需要依靠科技信息部門，還應該積極調動廣大的工作人員參與其中，讓更多的工作人員認識到信息科技風險意識的重要性，明確自身的責任，在自己的工作崗位能夠保證信息安全管理，不斷提高信息安全技術和風險防范意識，可以積極參與到中小商業銀行的信息安全建設和管理的過程中。現階段，隨著互聯網技術和信息技術的不斷發展，在中小商業銀行發展中信息科技已經滲透到了各個方面，各個領域對信息科技的依賴程度不斷加深和強化，但一旦出現信息安全事件，會對中小商業銀行造成嚴重的影響。中小商業銀行在發展的過程中，應該堅持規避科技風險和發展相協調，保證中小商業銀行在發展的同時提高信息科技風險的管理能力。可以說，堅持科技發展和風險管理相融合的發展原則，才能從根本上提高中小商業銀行的發展。

完善信息科技風險管理體系

為促進中小商業銀行抵抗風險的能力，應該重視對信息科技的戰略規劃的建設，保障企業和銀行之間的業務能夠相匹配，促進信息科技規劃建設的操作性和合理性。首先，中小商業銀行應該按照相關的規定和要求結合自然的發展情況來制定科學完善的管理措施。并且明確規定各部門和工作人員的責任，在具體的科技管理的過程中，做到事先管理、事中信息科技風險管理和事后管理相結合，形成相互制約和職責分明的信息科技治理組織結構。加強對信息科技內部規章制度的建設，明確信息科技對中小商業銀行發展的重要性，做到信息科技發展的過程中有規可依和有章可循，將信息科技規章制度納入到中小銀行的規章制度管理中，發揮各個部門之間的約束作用。其次，建立信息科技風險管控的目標，在此基礎上制定長遠的發展規劃，保障各項措施的有效落實，加強各個部門之間的溝通也有合作，尤其是在制度建設和人員管理等方面相互配合，從整體上提高中小銀行提高信息風險的能力。

強化信息科技風險管理

通過加強風險管理也能夠提高中小銀行的抗風險能力，建立各級風險監測體系，建立風險監測制度，對存在的風險發現后及時的排除，并且找到風險存在的原因，將風險管理控制貫穿在整個中小銀行的發展過程中，分析科技風險對中小商業銀行發展的影響，建立風險分類管理機制，加強對各個環節的監督管理。此外，不斷完善風險報告機制，加強業務管理部門和信息科技部門之間的合作，從總體上提高中小商業銀行的抗風險能力。

（1）信息科技風險管理機制

首先，為了更好的促進中小商業銀行的發展，制定長遠的發展規劃和科技信息發展戰略規劃非常關鍵。在此過程中保證人力、物力和財力的充足，保證安全信息科技環境。制定全面的信息科技風險管理機制，包括中小商業銀行發展過程中的人員安全、物理安全和信息科技運行維護安全等。其次，為了加強對信息的安全管理，應該對信息資產進行分級和分類管理，為保證信息的安全性建設奠定基礎。此外，可以采取主動防御機制，包括安全防護體系和基礎管理體系，加強對企業發展的各個環節的監督和管理工作，并且不斷完善監督管理制度，保證制度的有效落實，在此過程中拓展安全機制的覆蓋面。通過優化信息安全技術防護的手段能夠將存在的危險有效的解除，并且對重點環節進行防范，提高信息安全的有效性。再次，重視對運行體系的建設，提高運行的能力和服務水平，為后來的管理流程的完善奠定基礎，加強對重點時間的有效響應。最后，通過連續性的管理體系能夠保證金融服務的穩定性，為中小企業的發展奠定基礎。可以將業務連續性的管理納入到銀行風險管理體系內，明確各管理層和機構之間的責任，從而有效的推動業務的順利開展。

（2）信息科技風險評估

首先，重視對風險評估制度的制定和落實，并且建立信息風險監測體系，對存在的風險也是進行有效的識別。提高信息科技風險的全面性。可以采取風險分級分類的管理制度，做好各個環節的應急處置，加強日常的應急演練。其次，能夠準確的識別風險，避免出現主觀臆斷。在風險評估的過程中，需要采取科學的手段和方式，保證風險評估的準確性，將風險事故造成的危害降到最低。重視信息科技風險識別和評估的制度化和常規化建設，保障風險識別和評估的流程合理，及時的消除存在的安全隱患。找到對中小商業銀行業務存在的潛在風險，進而采取規避風險的措施。再次，風險監測是動態和連續的過程，需要對信息科技風險的變化情況進行實時的跟蹤，需要有效的了解風險變化情況，然后再具有針對性的調整對策，能夠針對不同類型的風險進行不同的識別和分析，在風險進一步惡化之前及時的上報，以便相關的工作部門建立有效的控制對策。還應該制定嚴密的風險報告制度，保證制度的有效落實，能夠認識到信息科技風險控制策略和商業銀行的發展戰略目標一致，在具體發展的過程中，重視對風險應急和處置機制的建設，制定應急預案響應機制，對風險進行化解和轉移。

加強行業和跨行業的協調與合作

首先，應該做到資源共享和平臺共享，提高中小銀行的整體風險防范能力，通過聯盟合作的方式能夠讓中小商業銀行少走彎路。為此，中小商業銀行應該加強交流和學習，做到合作共贏，能夠認識到自身發展的不足和優勢，借鑒成功者的經驗和教訓，更好的實現企業的創新發展。其次，跨行業的技術合作。因為中小商業銀行的科技人員數量比較少，同時質量參差不齊，需要和外部的科技公司合作，加強自身的業務能力建設，提高業務能力，此外，中小商業銀行應該借鑒外部公司的安全防范措施，結合自身發展的實際情況提高信息科技風險防范的水平和能力，促進中小商業銀行的健康發展。

結 語

綜上所述，在中小商業銀行發展的過程中還存在著信息科技風險，對其發展不利，為此，應該做好信息科技風險管理工作。中小商業銀行應該認識到信息科技風險是長期和持續改進的過程，需要制定全方位的管理體系，在企業發展的過程中應該樹立憂患意識和風險意識，為提高企業的市場競爭力奠定基礎，能減少信息科技風險帶來的危害，平衡中小商業銀行業務和信息安全之間的關系，為用戶提供安全和有保障的金融服務。

（甘肅銀行股份有限公司）