今年1月7日,元旦刚过,北京银行因主干专线的入户接入设备发生故障,造成在京的117家支行所属网点柜台交易缓慢,业务无法正常进行,故障持续一个多小时之后才得以解决。
类似于这类信息系统运行发生故障的事件,近年来,在国内金融机构并不罕见。日前,银监会副主席郭利根在银行业信息科技风险奥运专项自查工作部署会上就通报了包括交行、工行、建行、招行在内的几家大中型银行2007年信息系统发生故障的事件,这充分暴露出我国银行业信息系统的脆弱性。郭利根表示,银行业服务的好坏,特别是信息系统是否安全、稳定、可靠,事关社会稳定、金融安全和国际声誉。今年是我国奥运之年,也是银行业信息科技风险管控的关键之年。各银行必须从维护整个银行业安全高效、稳健运行的大局出发,全力保证信息系统的安全可靠和稳定运行。
应该说,近年来,无论是监管机构,还是国内金融企业,对信息系统的安全管理与运行都普遍给予了相当程度的重视,但是,为何银行信息系统运行还会频发故障?究竟国内银行在IT风险管理方面存在哪些深层次问题?各银行应如何借鉴国外金融业信息安全的实践经验,提升IT风险管理水平呢?
深挖IT风险管理差距何在
对照国际信息安全标准,以及国外先进银行在IT风险管理方面的最佳实践,国内银行确实存在不小的差距。国家金卡工程办公室安全组组长、中国信息产业商会信息安全产业分会常务副理事长屈延文指出,我国金融行业尤其是银行的信息化系统需要监管的风险资产很大,到目前为止,我国还没有建立基本的专业化信息资产风险监管队伍和组织。
从国外经验看,商业银行信息技术的运营与管理是相互分离的。但目前大多数国内银行现行的信息技术部门既具有十分明显的运营商特征,同时又具有明显的行政管理属性,是集运营、管理、监督于一身的技术垄断部门,这样的运行机制蕴藏着很大的运行风险。一方面,由于信息技术自身专业性极强,高级管理层和风险控制部门无法对其实施有效监管。目前,各家银行基本上还没有相应的专业管理部门负责信息业务系统的管理政策、技术标准、风险防范标准的制定,以及监督、检查和绩效评估等工作。另一方面,由于既当裁判员,又当运动员,集行政管理与技术管理于一身,信息技术部门本身难以胜任信息技术的监管职责,而且容易产生责任推诿、自行其事的不良风气与行为。
正因如此,到目前为止,银行业信息安全的管理工作大部分停留在定性估计层,缺乏对IT风险专业的定量分析。科技开发和其他业务管理一样,热衷追求项目上线数量,粗放经营情况普遍。在目前的考核机制下,基层部门风险管理成绩和绩效考核有一定关系,基层单位本能地尽量掩饰风险。在上报安全季报时,统计数据可能失真。安全事件信息分散在总、分行各个系统中,未形成关联性分析。银行内部也没有正规的风险分析团队,尚不能提供对全行信息安全状况的分析、支持及风险预警信息。此外,从IT风险管理手段来看,基本停留在制度检查层面,缺乏基础技术支撑。事后查出问题较多,事前预防作用有限,事中控制更难。银行对IT风险进行自我评估、自我加固的内在动力不足。
业内专家指出,金融业IT风险管理亟待从以技术防范为主的被动信息安全工作,转变为以预防控制为主的主动IT风险管理。各银行需要通过IT风险管理体系的重新规划,制订紧跟业务发展的IT风险管理体系架构,制订和完善适应我国银行业发展战略的信息安全政策和标准规范体系,推广实施信息安全基础设施。银行信息科技风险管控工作的重点可放在对信息资产的风险评估、规划、加固、控制和应急恢复等方面。
建构信息科技风险监管体系
在今年银监会工作会议和经济金融形势通报会上,刘明康主席、蒋定之副主席都反复强调,要把信息科技风险纳入银行总体风险监管框架,切实加强制度建设和风险监控,确保银行业信息系统安全稳定,确保奥运支付安全。
首先,集成资源,形成信息科技风险监管合力。今后信息科技风险的监管,在横向上,实行机构监管部门与信息科技部门联合的方式进行,对银行业机构开展现场检查以机构监管部门为主,信息科技部门全过程参与,努力实现机构监管与功能监管的有机结合。在纵向上,实行银监会机关与各银监局之间的联动,适度集成全系统的信息科技监管资源,建立保障机制,发挥功能监管优势。
其次,搞好规划,全面加强信息科技风险监管制度建设。2006年银监会发布的《银行业金融机构信息系统风险管理指引》,提出了信息系统风险识别、计量、评价、预警和控制的相关要求,对规范信息科技风险监管,维护信息系统安全,起到了重要的作用,但还远远不够。信息科技风险监管,必须坚持制度先行,加快建章立制步伐。要根据银行业务快速增长、信息科技发展日新月异的新情况,把握信息科技发展的规律,遵循“管法人、管风险、管内控、提高透明度”的监管理念,在充分调查研究的基础上,加强规划论证,尽快建立一整套信息科技建设和风险监管的制度标准,努力使信息科技基础建设、准入、非现场监管、现场检查、评级、应急机制等方面,都能做到有章可循,持续监管。
再次,实施日常监管,认真开展信息科技现场检查和非现场监管工作。各级机构监管部门要把信息科技风险纳入银行总体风险框架,在对各银行开展现场检查和非现场监管时,必须关注其信息科技风险,监管报告要对信息科技建设及风险管控情况进行评价,并按照有关制度标准提出监管要求。
提升信息科技风险管控能力
郭利根在银行业信息科技风险奥运专项自查工作部署会上提出,要以三大机制建设为重点,切实提高银行业信息科技风险管控能力。
一是建立信息科技风险管理保障机制。各行董事会和高管层要不断提高全面风险管理意识,把信息科技风险管控工作摆上议事日程,建立健全信息科技风险管理机构和岗位责任制度,层层抓好落实。要吸纳国内外高层次专家充实信息科技队伍,加强培训工作,提高风险管控能力和应变能力。要强化信息科技合规建设,把信息科技合规管理纳入到全行合规管理框架之中,充分发挥技术部门安全检查、风险部门风险监控、IT审计部门审计监督“三道防线”的约束作用,形成完备的违规监测和纠错体系。加大违规行为处罚力度,提高管控措施的约束力。
二是建立信息科技风险评估和预警机制。要全面落实风险评估制度,建立信息科技风险监测体系,及时识别风险因素,排查隐患,彻查各类问题的根源。要将信息科技风险控制前移,从业务部门需求管理开始,把风险管控贯穿于信息流动的整个过程,加强追踪控制。要在充分分析信息科技风险对银行业务影响的基础上,建立良好的风险分类分级制度,实施重点监控。从法律法规、国家政策、业务经营和客户利益等多角度区分各类信息科技风险,落实监测和保障措施。要完善风险报告机制,加强信息科技部门与业务管理部门、银行高管层以及监管机构之间的沟通协调,建立清晰的内外部报告路线,努力把信息科技风险识别体系改造成“体内循环”通畅、外部报告及时、“整体触觉”灵敏的有机体。
三是建立并完善信息科技风险应急处置机制。当前,突发事件频繁,加强风险应急和处置机制建设已成为当务之急。各行都要按照《突发事件应对法》的要求,加强风险应急和处置机制建设。要认真研究制定本单位信息科技风险应急管理的中长期规划,结合本行实际,稳步提高应急管理水平。要加强信息备份、灾难恢复以及业务连续性的管理,彻底改变灾备中心成为摆设的局面。要定期进行各类应急预案的培训和演练,把应急和灾备工作从技术管理层面提升到全方位、多部门齐抓共管、协调一致的全行工作层面,确保极端事件发生时,能够在最短的时间内按照既定方案有序处置。
银行业信息科技风险奥运专项自查工作部署会的召开,可以说是给国内银行业敲响了警钟,让各家银行都提起对信息科技风险管控的高度注意,更加直接、系统、谨慎地面对信息科技风险。业内专家认为,信息科技风险管控把传统的银行信息安全与IT治理、风险审计和风险评估结合在一起,产生了一个新的管理维度和应用维度,银行需要重新思考IT治理的层次,需要从信息资产的角度来看待信息科技风险,尝试科技风险的计量,建构适合自身的科技风险管理体系,切实提升信息科技风险管控能力,这样才能在抢占市场份额的同时降低IT风险,平衡信息系统功能和安全之间的关系,才能把风险控制在可承受的范围之内,为社会提供安全、持续的金融服务和保持金融稳定。
