银行信息技术风险管理问题与对策研究.doc

龙源期刊网 银行信息技术风险管理问题与对策研究作者：吴英群来源：科技创新导报2011年第17期摘 要:建立和完善有效的银行信息技术风险机制,是银行发展壮大所要解决的主要问题。本文分析了目前银行信息技术存在的风险,并为解决这一问题提出了一系列的建议。建立完善的银行信息技术风险管理,对于我国的经济建设和国家安全都具有重大的理论和现实意义。 关键词:银行信息技术风险管理对策研究 中图分类号:F063 文献标识码:A 文章编号:1674-098X(2011)06(b)-0210-02 随着网络时代的到来,为提高工作效率,更好的满足客户的需要,计算机网络技术也逐步渗透到银行工作的各个部门。为适应激烈的市场竞争,大力扩展业务的范围,各银行也先后扩展了网上银行、自助银行、电话银行等一系列的电子化技术,以求以优质的服务质量和新颖的业务创新来提高本银行的市场竞争力。但是在信息技术推动银行事业快速发展的同时,它也给银行事业,特别是银行信息技术风险管理带来了严峻的挑战。 要了解银行信息技术存在的风险,并提出相应的解决办法,首先就必须明确银行信息技术的相关概念:风险,风险管理和银行信息技术风险。 1 银行信息技术的相关概念 1.1 风险和风险管理 风险是指可能发生的危险。风险具有不确定性和客观性。不确定性是指有些风险是不可避免的,它的出现是必然趋势,但发生的时间是不可预知的,将要造成的损失也是不可估量。风险的客观性是指风险是客观存在的,不以人的意识为转移,由事物的内部因素和客观规律起决定作用,不受自然和社会运动的影响。 风险管理是指通过对风险进行评估和分析后,为降低风险的损失程度而采取的一系列的应变策略的过程。对于银行等现代企业来说,风险管理主要包括三个部分,对风险的识别;对风险的衡量;对风险的处理。为降低风险,建立完善的风险管理机制,企业在生产经营过程中,就必须识别风险、预测其所带来的影响,并选择有效地手段,积极地应对不可避免的风险,保证企业的生产生活正常进行。 1.2 银行信息技术风险 银行信息技术风险是指基于信息技术系统下的银行业务潜在的危险。银行信息技术存在风险的原因繁多,主要为以下几种:(1)由于大规模的数据处理使得系统业务繁忙,网络反映缓慢,监控等的滞后使服务器中断;(2)银行信息化机制所带来的外包机制风险;(3)病毒、黑客等的入侵所导致的客户信息泄露,此外,冒用客户身份和账户资料等情况也时有发生;(4)由于意外事故或者自然灾害等导致数据的流失等。 银行信息技术风险主要可分成操作、战略、法律、声誉和外包五种风险类型。(1)所谓操作风险,即由于不完善或内部操作出现差错、人员、系统或外部事件而导致的直接或间接损失的风险。操作风险包括确保银行业务安全性,避免遭内部欺诈和外部侵入的可靠性风险,系统安全维护和管理风险,客户的误操作和银行内部管理的风险。操作风险主要由于公司内部的监控管理机构等不完善,工作人员责任心不强、素质不高所造成的。(2)战略风险,是指银行为规避整体风险而制定的策略。战略风险主要是由于运营、资产损伤、竞争和商誉所产生的风险。战略风险影响整个企业的发展方向,是企业能否实现资源的合理配置,提高核心竞争力的关键因素。(3)法律风险,即银行在日常经营活动中违法商业准则或者法律原则而引发争议、投诉甚至诉讼等纠纷时给银行所造成的风险。银行信息技术最可能发生的法律风险在于合同、知识产权以及授权等管理中。(4)声誉风险,即由于一些不利的社会舆论给银行带来损失的危险。信誉和形象是银行发展壮大的前提和基础,一家银行要长久的立足下去就必须有良好的客户来源,有可靠的资金来源以及和谐的信贷关系等。良好的声誉风险管理对提高银行竞争力,实现银行的经济效益有重要的作用。(5)外包风险,即企业合理的对自身的资源进行优化配置,并利用企业外部的资源为企业内部的生产和经营服务过程中所存在的安全风险。 2 目前银行信息技术风险管理存在的问题 随着网络时代的到来,极大影响了传统的商业交易方式以及交易手段。为提高工作效率,更好的满足客户的需要,银行的各个部门也大力的普及了计算机技术的推广。为适应激烈的市场竞争,各商业银行也积极地利用先进的科学技术,大力扩展业务的范围,网上银行、自助银行、电话银行等一系列的电子化技术争先出炉,以求以优质的服务质量和新颖的业务创新来提高本银行的市场竞争力。但是在信息技术推动银行事业快速发展的同时,它也给银行事业,特别是银行信息技术风险管理带来了严峻的挑战。现在犯罪技术急速升级,由于高科技的推动,给高科技的犯罪提供了极大的便利,再也不是传统的银行抢劫案,现代社会,一个键盘,一个鼠标,弹指之间就能使整个银行系统限于崩溃,一夕之间巨额资金就不翼而飞。此外由于病毒和黑客的入侵,也使银行安全面临巨大的威胁。因此建立完善的银行信息技术风险管理,对于我国的经济建设和国家安全都具有重大的理论和现实意义。 2.1 目前银行信息技术主要风险 2.1.1 系统安全 系统安全即构成银行信息技术的设施基础,网络及服务器的自身稳定性和有效性,是银行信息技术安全的基础和前提。其面临主要不安全因素有硬件故障、网络故障、系统软件错误、应用程序错误、操作错误及计算机病毒对系统的危害。 2.1.2 信息安全 从某种意义上说,银行信息技术的交易就是信息的交易,保护银行信息技术的安全就是保护信息流和数据库的安全,通过硬件和软件的信息技术方案来保护基于网络环境的信息安全。目前威胁银行信息安全的形式和手段主要有:信息窃取:通过物理或逻辑的手段,在网络的传输信道上对数据进行非法截获与监听,窃取重要或敏感信息;身份嫁接:盗用合法用户的身份信息,冒充合法用户的身份进行电子商务活动,收获非法利益;信息篡改:电子商务活动的相关信息内容被篡改,或注入伪造消息,使信息失去完整性和真实性;信息阻断:入侵者使合法接入的业务、信息或其他资源受阻,例如滥用某个业务口使其他用户不能正常工作;入侵和病毒攻击:对电子商务的服务器及关联网络,进行非法入侵攻击及计算机病毒破坏。 2.2 我国银行信息技术风险管理存在的问题 尽管各银行对于信息技术的风险管理都给予了高度的重视,因地制宜的根据本行的实际情况积极主动的研究并制定了一系列的银行信息技术风险管理的策略,在在具体的规划和执行中,仍普遍存在着以下的问题。 2.2.1 缺乏风险忧患意识 我国银行高层领导普遍缺乏对银行信息技术风险的忧患意识,通常只是在问题产生之后才会想尽一切办法来解决,而缺乏提前预防的观念。这首先表现在银行预算中,盲目的控制成本,对风险资金的投入不够重视,为以后的信息安全埋下了很大的隐患。其次,缺乏全局观念,只对具有高风险的部门和职位采取风险防患措施,而缺乏整体的全员的安全意识。再次,有些银行工作人员道德素质低,无法抵挡住金钱和权力的诱惑,缺乏保密意识和职业道德感。 2.2.2 管理制度的不健全 银行的业务管理机制缺乏预见性,不能与时俱进,在制定银行核心业务系统规划时没有充分考虑业务发展对信息技术发展的要求,依旧沿用已过时的不能适应业务发展的管理模式,造成业务发展需要与信息技术支持的脱节。近年来,我国的金融市场十分的活跃,各类金融活动如证券、基金等理财服务在金融市场上活动频繁,这无疑给银行原有的信息技术系统带来了巨大的挑战,难以适应新的业务增长点的需要。此外银行也缺乏专门的管理机制和机构,各部门的权责不明确,遇到事情相互推诿,因此不能根据业务发展的实际需要及时的对信息技术进行调整和更新,造成信息技术的滞后,给很多的安全隐患以可乘之机。 2.2.3 沟通不协调,应急能力弱 银行信息技术的战略规划是关系着整个银行系统的各个部门,必须全行参与与配合,但是有些银行的信息技术管理仅仅由信息技术部门单独参与,其他业务部门都摆出事不关己、高高挂起的姿态,这一方面使得信息技术部门在规划时仅从本部门考虑,规划不够全面,另一方面由于得不到其它业务部门的有效配合也使得规划难以实施,并在实际工作运行中发挥积极作用。由于银行的信息技术与其他业务部门缺乏有效地沟通,所以当问题或者风险发生时,各部门左右推诿,不能及时的应对和处理风险忧患,全行的应急能力基础十分的薄弱。 2.2.4 技术相对落后 虽然在我国的银行信息技术系统中采用了很多高科技的技术设备,但是正是由于这些高端设备的软硬件设施均来自国外,而且我国银行主要采用外包机制,将软件的开发等业务交予第三方来完成,这种大规模的外包机制一方面增加了项目管理的难度,服务不到位并发生产权纠纷,另一方面核心技术掌握在别人手中,这就受制于人,缺乏自主知识产权能力,使得银行信息技术安全隐患增大。 2.2.5 人才的缺乏与流失 银行信息系统需要不断地完善与修护,这就需要业务娴熟而又精通IT技术的高科技人员,由于这种职业的高要求,大部分人难以胜任。而相对其它科技研究工作和商业部门而言,银行的待遇又比较低,因此大部分银行信息行业的优秀人才都另谋职业寻找新的去处,甚至转入国外的一些银行。这不仅使我国的银行缺乏复合型的综合人才,造成人才的缺失,而且优秀人才加入国外银行,这就大大增强了国外银行在市场上的竞争力,国内银行普遍面临客户流失、安全隐患不断的困境。 3 银行信息技术风险的应对措施 3.1 制度上加强风险管理 制度上加强风险管理,即完善银行管理体制,加强银行在技术上对风险的防患措施。(1)加强银行交易设备的安全性:网络访问控制首要方案是在内外网间设置防火墙,管理和控制进出企业内部网的信息。其次,设置入侵检测系统,在网络运行当中不断自检、主动预防、及时发现漏洞或恶意攻击,实现动态的、实时的安全控制,在入侵事件发生时提供报警功能,及建议补救措施。再次,进行病毒防护。包括预防、检测和清除。(2)加强银行交易客户的安全性:通过身份认证和数据安全认证。身份认证机制确认用户身份是否真实,主要是采用两种方式:用户口令验证;CA数字证书验证。数据安全主要是指数据传输加密;数据完整性鉴别。 3.2 从技术和流程上降低风险 3.2.1 信用风险管理 银行要增强自己的信用值,赢得更多的客户,就要根据国家的政策和规定,通过分析和研究,不断的调整自己的信贷政策,尽量少贷款给一些受经济影响重大的行业。此外,要加强银行的贷款业务管理。对需要借贷的企业,要实地的调查其经营的状况和其偿还能力,不能盲目的借贷。在实施借贷后,还要加强对所贷单位的监管,确保贷款有借有还。 3.2.2 流动性风险管理 加强对银行存、贷款资金的进出金额监控,及时的发现和预测风险,制订有效应急预案。其次,要针对由于受市场经济的影响可能出现的利润、汇率的变化以及房价等价格的波动,提早的通过风险转移、规避或者补偿等措施降低风险,对流动资金做出合理的规划,提高银行应对特殊事件的应变能力。再次,对投资进行合理的安排,通过分析和研究,将一部分流动资金投入盈利机会多的行业,实现流动资金的效益化。 3.2.3 操作风险管理 要降低操作风险,关键在于完善内控,包括对员工、业务流程、银行账户、案件查处等管理措施。为了降低操作风险,银行就必须根据自己的业务性质等特点建立相应的操作风险管理机制,对潜在的风险进行有效地识别和评估,并采取有效的监控和控制手段。面对市场复杂多变的局势,银行应对已有的风险管理机制进行审查,并根据新形势不断地改变或调整风险管理战略,从而通过发现并解决银行风险管理中存在的问题,进一步增强银行自身的风险管理经验和能力,更好地促进持续稳健经营。 3.3 加强人才管理 高科技的人才是银行信息技术发展的智力支持和保障,因此必须加强对人才的管理。人才的管理既包括引进高技术人才,同时也包括对人才素质的培养和提高。银行行业要积极地通过各种激励机制来吸收和引进复合型人才,给高科技人才营造轻松的工作环境。此外,还必须给这些高科技的人才以政策上和待遇上的倾斜,以避免人才的流失。另一方面,对于还要加强人才的思想到得素质和业务员的技术培训。全体员工应该加强职业道德素质,不管提高自身的素质,建立和完善员工保密意识和安全意识的考核机制,有效的从内部防止由于金钱和权势诱惑而出现的员工泄密的现象。此外,加强员工的业务培训,提高其计算机的实际操作能力,也能在一定程度上降低风险。 4 结语 全球经济一体化的纵深发展,银行业为适应时代的发展,增强自身的竞争力,扩宽业务渠道,就必须