IT架构与金融风险规避-赛迪

IT架构与金融风险规避作者：赛迪顾问股份有限公司信息化咨询中心总经理 赵刚 博士七大架构，建立金融企业架构 IT与金融业务及创新的关系越来越紧密，构建IT架构，使其既能满足金融创新与管理变革的需要，又满足金融风险防范的需求已成必然。国际上，关于企业架构(Enterprise Architecture)已经形成一套完整的理论和应用体系；在国内，赛迪顾问创新性地提出了企业信息化的“七大架构”，从战略的高度指导金融机构建立IT架构。 企业架构是企业范围内的各种实体间的体系结构关系，以及与体系结构相关的制度、流程和标准等。主要涵盖业务架构、信息架构、应用系统架构、系统平台架构、网络与硬件基础设施架构、信息安全与风险管理架构、IT管理架构等七个方面。 1、业务架构 业务架构描述了金融机构各业务之间相互作用的关系结构。业务架构以业务战略为指针，以各主营业务为主线，以各辅助业务为支撑，以人流、物流、资金流、信息流等联络各业务线，构成贯彻业务战略的基本业务运作模式。金融机构业务价值链上的核心产品包括储蓄、信贷、票据、国际、中间业务等，资金运作、营销和服务也是金融机构的基本业务职能。在管理层面，包含人力资源、财务、风险、科技管理等。股东、银监会、人民银行则对金融机构进行决策、监管和指导。 企业信息化架构 2、信息架构 信息架构是将业务实体抽象成为信息对象，将业务运作模式抽象成为信息对象的属性和方法，建立金融机构内部以及金融机构间的信息模型、信息流模型，确立信息表示、获取、通信等信息管理标准，实现信息共享和信息集成，并挖掘信息价值的基础结构。金融机构的信息模型涵盖客户、渠道、机构、账户、资产等基本主题，是建立金融机构数据仓库的基础。 3、应用系统架构 应用系统架构是金融机构支持业务发展的应用系统结构，是应用集成和新产品开发的基础结构，包含相关标准。金融机构的应用系统架构分为渠道接入、综合前置、综合业务、管理信息系统、决策支持等层面。 4、系统平台架构 系统平台架构是实现应用重用和系统互操作等的基础软件技术结构，金融机构系统平台架构经历了基于主机的体系机构、C/S体系结构、B/S体系结构和SOA架构，趋势是向SOA架构过渡。SOA是将应用的功能以服务提供给最终用户应用或其他服务。它利用开放标准将软件资产化为服务，提供了标准的方法来表示软件资产及其交互，单独的软件资产变成构造单元，被重复使用来开发其他应用。 5、网络与基础设施架构 网络与基础设施架构是支持应用软件的硬件和网络的基础结构和相关标准。金融机构的网络与基础设施架构较为完善。 6、信息安全与风险管理架构 信息安全与风险管理架构是涵盖信息安全与风险管理的组织、流程、技术的体系结构和相关标准等。 7、IT管理架构 IT管理架构是关于IT管理的结构、制度、标准、流程、技术和组织的框架。它涉及IT规划、设计开发、实施、运维、投资、外包的管理。 任何风险的产生分为内、外两种驱动力，内部驱动是自身的结构和机制的问题，外部驱动则主要是来自外部的压力。通过构建系统化的金融机构IT架构，能够建立稳健的信息化运行体系，从内部规避系统性IT风险。 制定风险管理策略，构建和谐IT环境 IT架构对金融风险管理而言，具有双重意义：一方面，通过建立金融风险管理信息系统，加强金融机构的风险管理。另一方面，IT风险是一种操作风险，它是金融操作风险重要组成，IT风险本身的管理也需要进行强化。因此，IT要从这两个角度考虑金融风险管理的策略。 1、支持金融风险管理的IT系统 当前金融机构面临着各种潜在的金融风险，迫切要求加强风险管理： 首先，国内银行业面临激烈的市场竞争。WTO规定的市场准入的放开，使中国银行业面临更广泛的全球性竞争，国内大小商业银行也在大幅提高各自的竞争能力，较低竞争力的中小商业银行面临退市风险。为赢得竞争优势，来自于银行自身金融创新的风险也日趋广泛。 第二，从信用与危害风险来源看，整体上我国银行由于历史原因，不良贷款率高，资本金不足，抗风险能力较弱。尽管中国政府对于银行业存在的信用风险问题保持高度关注，并采取了一系列的措施促进国内银行提高抗风险能力和风险管理水平，如对国有银行的不良资产剥离、鼓励外资金融机构参股国内商业银行、鼓励国内商业银行上市改制等，但中国银行业所面临的信用风险仍然是最突出的，这是社会信用、体制、经济周期、经济发展不平衡等多种因素决定的。同时，自然灾害、恐怖袭击等外来危害也加大了金融机构的风险。 第三，我国将逐步推进利率的市场化进程，利率的浮动给金融机构也带来了潜在的市场风险。 第四，金融机构风险管理基础薄弱、抗风险能力较弱，表现为：公司治理结构不合理、机构臃肿、人员冗余、内控较差和责权模糊等。 从监管的角度看，银监会逐步加强监管，发布一系列的监管法律、法规和内控指引，对金融机构的风险管理也提出较高要求。就巴塞尔协议而言，虽然中国银监会表示不会在2006年要求中国银行业实施新巴塞尔资本协议，但中国银行业的监管机构也积极组织各家商业银行参与对巴塞尔新资本协议的修改，并且表示在商业银行资本金充足率方面将减少运用行政化手段，而更多地参照巴赛尔协议进行监管。美国上市的金融机构则要更多考虑SOX法案的要求。 因此，风险管理是金融机构的生命线，加强信息技术在金融机构风险管理中的应用是提高风险管理水平、实现风险管理现代化的重要途径。国外商业银行在风险管理机制方面已经形成了一整套完善的系统，其中包括风险识别系统、风险报险系统、风险决策系统、风险避险系统、全程监控系统等，涉及金融信用风险、市场风险和操作风险等。 金融机构在信用风险管理方面，要建立信贷管理信息系统，强化对客户信用风险管理。在市场风险管理方面，通过建立资产负债管理等系统，评估特定及战略决策的短期和长期影响，规避市场风险。在操作风险管理方面，通过建立稽核系统加强操作风险的事前、事中和事后的管理。 银监会通过建立并不断完善金融监管系统，能实现对金融系统的动态、智能化监管，确保金融机构的合法经营，及时防范和化解金融风险，以保障现代化金融服务体系的安全、稳健、高效运行。银监会已全面启动非现场监管数据库和监管信息系统的开发建设，到2006年将基本实现非现场监管工作的信息化、网络化，达到信息共享和双向检索的目标，建立健全持续有效的非现场监管体系。 2、IT风险管理 金融机构的IT自身地风险管理要依照IT架构系统地进行，基本策略如下： 第一，以业务架构为主导，构建IT风险管理体系。金融IT风险不是单纯的信息技术安全的问题，它是金融风险管理的重要组成部分，直接关系到金融机构业务的安全性。它与公司治理及IT治理、金融监管法案与IT管理制度等密切相关。金融IT风险管理的体系要从金融IT架构的各个层面进行系统考虑和分析，构建对应的IT风险管理体系。 第二，以人才培育为根本，建设IT风险管理队伍。在金融机构的IT组织中要设立金融信息资产风险管理的专职人员，进行金融IT风险管理的规划、实施和执行。 第三，以管理流程为核心，完善风险管理标准。将IT风险管理流程化、制度化、标准化，使它作为IT管理流程的重要内容，IT风险管理流程要遵循或参照IT风险管理的相关国际标准，制定适合自身的流程标准。 第四，要以信息技术为手段，建设风险管理系统。IT风险管理要有自己的管理信息系统，支持信息的自动采集和共享，进行科学的IT风险管理。 业务架构 应用系统架构 系统平台架构 IT管理架构 IT风险管理体系 【相关链接】 当前金融机构的IT建设及其潜在的风险 1985年11月21日，由于软件的错误，纽约银行与美联储电子结算系统收支失衡，发生了超额支付，纽约银行当日帐务轧差出现230亿短款。 1994年8月1日，由于一只松鼠通过位于康涅狄格网络主计算机附近的一条电话线挖洞，造成电源紧急控制系统损坏，NASDAQ电子交易系统日均超过3亿股的股票市场暂停营业近34分钟。 2001年9月11日，恐怖主义袭击造成多家银行业务中断。 2005年8月，一个重大盗窃集团使用击键登录软件从数千台电脑上搜集了个人信息，窃取了50家银行客户的个人身份信息。由此可见，无论在软件、硬件、网络、管理等方面的相关隐患都会给金融机构的业务造成巨大损失，IT相关的风险已成为金融机构面临的巨大挑战。 我国金融电子化建设从无到有，从小到大，从支持单项业务到支撑综合业务，从单一网点到全国联网，网络基础设施和主机处理能力已达到世界水平，建立了较为完备的网络和硬件基础设施架构。金融机构数据大集中工作也基本完成，商业银行的数据在物理上实现了集中管理。但是，在应用系统、信息安全、IT管理等方面，金融机构的IT架构仍存在诸多问题，也带来了很大的风险，例如： 1、由于IT系统的异构性，系统集成很困难。金融机构存在种类繁多的硬件、操作系统、数据库、中间件、编程语言，使得系统之间互操作和信息集成的难度非常高。 2、由于业务应用分散建设，业务应用集成度低。很多金融机构的个人业务、对公业务、卡业务、中间业务等应用相互独立，业务系统和管理系统分散，造成很多的冗余代码、数据和应用，不利于综合管理和决策分析。 3、由于IT系统可扩展性低，无法快速适应业务创新和新产品开发的需求。新业务需求出现时，无法重用已有系统，经常放弃老系统从头再来，导致新业务的推出耗时数月，跟不上客户的需求和市场的反应。 4、IT管