试议综述金融行业信息科技风险管控综述
最后更新时间:2024-02-11
作者:用户投稿
本站原创
点赞:21651
浏览:95721
本站原创
点赞:21651
浏览:95721
论文导读:
【摘要】信息科技风险已经成为金融行业面临的重要风险之一。国内外研究者对金融行业信息科技风险进行了深入的研究。本文首先对国内外有关文献进行回顾,并以此为基础对国内外的研究成果进行了进一步的对比分析。
【关键词】信息科技风险;金融信息化;风险管控
1.引言
金融信息化指在金融领域全面发展和应用现代信息技术,以创新智能技术工具更新改造和装备金融业,使金融活动的结构框架重心从物理性空间向信息性空间转变的过程。简而言之,金融信息化就是指将现代信息技术应用于金融领域的过程。随着金融信息化向纵深方向发展,信息安全已成为全球金融机构所面临的重要风险之一。当前金融机构面临的主要信息科技风险包括缺乏有效的信息科技风险管理战略、信息科技治理结构还不够完善、高级管理层重视不够、信息安全管理工作更多强调技术层面以及合规风险。
中国的金融机构都制定了业务发展战略,但缺乏与业务发源于:论文的格式要求www.7ctime.com
展战略相一致的信息科技发展战略,也缺乏信息科技风险战略,以指导信息科技风险管控工作。金融机构内部大多数部门都认为信息科技工作是信息科技部门的事情,同样信息科技风险管理也只是信息科技部门的责任,导致了信息科技治理结构不够完善,信息科技风险管理缺乏业务、风险管理、内部审计部门的有效支持。高级管理层在“口头上”都很重视,但高级管理层很少履行切实的承诺,在资金上给与足够的支持。更多金融机构注重从技术层面加强边界保护,而很少从流程、技术、人员三个不可分离的层面从事信息安全管理工作。由于当前在信息科技风险管控方面不能够满足外部监管机构的要求,从而给金融机构带来合规风险。即使金融机构应结合自身业务发展战略,在对信息科技风险评估的基础上,借鉴先进金融机构的良好做法和国际标准基础上,制定出与业务发展目标保持一致的信息科技风险管理战略。加强信息科技风险治理结构建设,设计出包括高级管理层、业务部门、信息科技部门、风险管理部门、审计和合规部门在内的信息科技风险治理架构,以满足信息科技风险管理对治理结构的要求。从业务需求出发,从人员、技术和流程三个角度加强信息科技风险管控程序建设,逐步提高信息科技风险管控能力,满足外部监管要求。还要持续地加强高级管理层、管理层以及一般人员,并包括合作伙伴等人员的信息安全意识教育和培训。
鉴于实业界对金融信息化风险的高度重视,本文从金融信息化风险概念、分类和管控方法等方面对现有文献中的相关理论进行回顾,并对国内外的研究现状进行进一步的对比分析。
(1)电子商业银行的技术创新和客户服务变革的速度比传统的创新更快,例如在新技术和新业务的推出时间周期大大缩短,因此很难预测客户的需求。客户需求波动与服务能力的不一致给商业银行带来了资源浪费或损失顾客的风险。(2)在线上交易中,Web站点要与金融机构后台核心业务系统互联互通。因此,信息系统的架构设计必须较为合理,在操作性和可用性上有良好的体验。对技术的依赖程度增加使得风险更为集中,风险的管控要求更高的技术素养、知识和能力。(3)网络银行与传统银行采用了不同的服务模式,其价值链中引入更多合作伙伴、合作联盟和外包服务商,从而增强了网络银行的操作和安全复杂性。新的服务模式融入了金融机构和非金融机构,但这些非金融机构并不在金融业的监管之列,使得技术风险监管产生了许多复杂的问题,在出现故障或发生问题时,很难界定各自的责任。(4)互联网本身无所不在的特性,使信息访问的各个环节都很难控制,一系列相应技术的应用,如授权管理、客户身份确认技术、信息等级管理制度、稽核跟踪技术等,使得金融机构必须投入更多资源才能确保对信息访问的严格控制,从而在无形中提高了事故发生的可能性。(5)随着移动互联网在商业银行信息系统中的应用(如无线POS、移动银行等),在实现将移动互联网与现有的网络平台互联时,信息更容易受到攻击。(6)伴随着我国各金融机构数据大集中的开展,商业银行各种技术风险也相应集中,对数据大集中的稳定性、高效性和可靠性提出了更高的要求。
(1)内部风险
内部风险是信息化风险的主要来源,IDC的报告显示,只有30%的安全损失是由企业外部原因造成的。CIA(情报局)和FBI(联邦调查局)的数据也表明,超过85%的安全威胁来自企业内部,威胁源包括内部操作不当、未授权的存取、专利信息被窃取、内部腐败、内部人员的财务欺骗等。
1)信息安全风险。金融机构数据库管理系统漏洞,可能引起数据损坏或丢失、系统被攻击或应用系统无法正常运行,或导致信息系统数据处理错误、内控措施失效或数据安全性受损等信息安全问题。2)金融机构核心业务系统风险。商业银行第二代核心业务系统包括信贷、柜台、账务、管理等模块;第三代核心业务系统则涵盖了客户关系管理、风险管理、市场营销分析等模块;第四代核心业务系统正在建设中,更强调数据共享和SOA架构(Service Oriented Architecture,面向服务的架构),更注重业务流程与信息流程的协调。核心系统一旦出现漏洞或故障,则可能带来银行服务能力丧失的巨大风险。3)基础信息技术风险。诸如硬件设备的安全漏洞;应用软件服务系统可能遭到侵害的风险;网络技术方案选择不当;信息传输失真;网络信息被篡改、截取或损害;软件运行论文导读:
故障;信息系统设计不合理、加密技术没有更新。4)信息技术引发的业务中断风险。因软硬件运行故障、系统超负荷运行、主干网络断开、病毒传播、人为非法操作或无意误操作,均可导致金融机构业务中断的风险。5)信息科技系统闲置引起的低效率风险。当一家金融机构业务量不足而信息科技系统规模过大,软硬件设施之间、各项设施内部配置结构不合理,以及因缺乏整体规划重复建设功能相近或相同的设施,均会造成资源闲置。6)信息孤岛效应。金融机构内部大多缺乏统一的资源数据库,现有信息系统各自运行,无法实现数据共享,使得管理层获取不同信息需进入不同系统,造成信息孤岛效应。事实上,不光各金融机构总部与分支机构信息不对称,即便是金融机构总行高管层也难以从一个系统及时获取全面信息。源于:论文致谢范文www.7ctime.com
图1 ISO13355以风险为核心的安全模型
4.
在ITCG中,风险管理自始至终都是一个核心概念,且风险管理的对象主要侧重于管理信息技术风险。但是,这一标准框架结构过于偏重单个企业信息系统的安全风险,在企业信息技术的组织管理层次框架和过程性方面存在一定的不足,在企业IT治理上的应用还有完善的空间。
4.
4.
4.
其主要内容包括:(1)管理新技术相关的风险。对新技术的风险管理包含三个基本要素:一是对技术应用的规划;二是对技术的实施;三是对风险的衡量和监控手段。(2)网络银行内部风险控制体系,主要包括三个方面:一、确定控制目标:如数据的可用性、完整性和管理信息系统的可靠性。二、建立全面的内部管控体系,从内部会计控制、运营控制和管理控制三个基本层面实行内部控制。三、采用预防性控制、侦测控制和纠正控制这三种方法并贯穿在上述这三个层次中。(3)网络银行对来源于网络供应商方面的风险控制。在美国,使用这种选择的网络银行同网络供应商签订正式合同,明确列明有关各方的职责,银行特别小心谨慎,以确保不在安全性方面让步。(4)从网络银行客户和消费者角度实现风险控制。在美国,网络银行对其客户的风险控制方法主要聚焦在以下两点:一、对网络金融产品和服务进行良好的管理,以保持足够的安全水平。二、在对消费者的隐私保护方面,网络银行一般积极主动地正视并响应客户隐私问题,使之成为银行的正面形象和对客户的一种利益。为了做到这两点,网络银行一般与客户签订服务协议。
4.
赋予了网络银行开展业务需要的权力。规则还强调了透明度原则,采取了对网络银行业务系统的检查,而像过去将网络银行简单地视为销售通道,对这种网络销售方式展开单一评估。
信息系统内部控制的审计评价”,“商业银行内部控制评价技术要点解析与具体操作实用手册”等。
总的说来,随着信息技术的快速发展,银行业信息系统环境下的内部控制变得越来越重要,商业银行信息系统的内部控制应该采用规范的体系。虽然内部控制评价办法中“信息系统环境下的控制”相关的词条较多,但离规范体系还相差较远。常见的评价办法过于简单,例如仅仅根据几页检查表进行信息系统的安全检查,由此难以准确地评价一个企业信息系统内控机制建设的好坏,评价结果与实际肯定不符。
(2)中国与银行业科技信息风险相关的法律法规。GB/T18336(信息技术安全性评估准则)、GB/T19716(信息技术信息安全管理实用规则)、GB/T19715(信息技术安全管理指南)、GB/T22239(等级保护实施细则)等等;涉及行业标准的有:银监会发布《电子银行安全评估指引》、《商业银行信息科技风险管理指引》、发布《信息系统等级保护基本要求与实施指南》。其中,行业标准一般提供了金融机构信息科技的治理体系(如董事会应履行的信息科技管理职责,首席信息官制度,信息科技部门内部管理职责,信息科技风险管理制度等),信息科技风险评估计划和信息科技风险管理策略,信息安全管理策略和职能机构设定,信息系统开发、测试和维护方面的流程规范,信息技术外包准则,信息技术审计制度等方面的规范。
我国目前的相关法规虽然覆盖到了网上证券交易、计算机使用安全保障等方面,但还远没有达到金融信息化的要求。为了适应信息化时代金融发展的要求,我国应借鉴发达国家的成熟经验,避免发达国家走过的弯路,在信息化金融发展的初期就拟定、颁布并严格执行相关法律法规。
完善的社会信用制度是减少金融风险、促进金融业健康有序发展的制度保障。没有完善的社会信用体系,交易主体就不会对自己和他人的经济行为产生确定性预期,信息技术的虚拟性会使这种源于:论文的标准格式www.7ctime.com
不确定性预期得到强化。我国社会缺少契约精神的根基,企业之间对契约的承诺和遵守缺乏习惯上的约束,因此,社会信用制度的逐步建立是提高金融企业管控信息化风险的关键之一。
商业银行等金融机构应建立相应的风险管理保障机制、评估预警机制以及应对突发事件的处理机制,构筑技术部门应的安全检查防线,风险部门的风险监控防线,以及审计部门进行审计、监督防线。信息科技风险普遍仍被视为技术风险,未上升到统筹管理、全面监管的高度来认识。大多银行不是由“一把手”亲自抓信息科技风险管理,甚至不由技术总监而是由技术部门经理来负责。
规划IT风险管理体系,制订紧跟业务发展的IT风险管理体系架构,完善适应我国银行业发展战略的信息安全政策和标准规范体系,推广实施信息安全基础设施。
6.总结
随着金融业对信息技术的依赖程度越来越高,信息技术所引发的金融风险引起了越来越多学者的关注。金融信息安全问题已经由一个潜在的风险转化成切实的潜在危机,仅仅用狭义的风险管理来考虑安全问题已经不够,还必须考虑危机管理和业务连续性管理。以指导企业如何对金融信息化风险进行有效地管理和控制为研究的出发点,本文从金融信息化风险的概念、分类和管控方法三个方面对国内外有关文献进行了回顾,并在此基础上对国内外风险管控的差距进行了分析。
参考文献:
李剑,张然,等,编.信息安全概论(V01)[M].北京:机械工业出版社,2009.
唐磊.商业银行信息科技风险现状与管理策略分析[J].中国金融电脑,2009,02.
[3]骆鉴.论国外金融信息化风险管理与控制[D].
[4]吉猛.商业银行信息系统内部控制研究[D]
[5]孙长青.二级分行信息科技风险现状剖析与防范对策[J].中国金融电脑,2009,09.
[6]谢宗晓,郭立生,等,编.信息安全管理体系应用手册[M].中国金融出版社,P36.
[7]宋春燕.一级分行信息科技风险点分析及防范策略[J].中国金融电脑,2009,11.
[8]张成虎.银行技术风险监管[M].经济管理出版社,2005,11.
[9]CICA, Information control Guidelines, CICA, 1998.
[10]吴庆田.美国网络银行的风险控制分析与借鉴.
[11]银监会.商业银行信息科技风险管理指引.
[12]张玉喜.网络金融的风险管理研究[J].管理世界,2002(10):139—140.
[13]刘萍.浅析金融信息安全[J].甘肃金融,2009,7.
[14]陈蕾蕾.国内商业银行信息科技风险管理研究[D].
作者简介:丁邡(1972—),女,安徽合肥人,博士,研究方向:决策与信息管理。
【摘要】信息科技风险已经成为金融行业面临的重要风险之一。国内外研究者对金融行业信息科技风险进行了深入的研究。本文首先对国内外有关文献进行回顾,并以此为基础对国内外的研究成果进行了进一步的对比分析。
【关键词】信息科技风险;金融信息化;风险管控
1.引言
金融信息化指在金融领域全面发展和应用现代信息技术,以创新智能技术工具更新改造和装备金融业,使金融活动的结构框架重心从物理性空间向信息性空间转变的过程。简而言之,金融信息化就是指将现代信息技术应用于金融领域的过程。随着金融信息化向纵深方向发展,信息安全已成为全球金融机构所面临的重要风险之一。当前金融机构面临的主要信息科技风险包括缺乏有效的信息科技风险管理战略、信息科技治理结构还不够完善、高级管理层重视不够、信息安全管理工作更多强调技术层面以及合规风险。
中国的金融机构都制定了业务发展战略,但缺乏与业务发源于:论文的格式要求www.7ctime.com
展战略相一致的信息科技发展战略,也缺乏信息科技风险战略,以指导信息科技风险管控工作。金融机构内部大多数部门都认为信息科技工作是信息科技部门的事情,同样信息科技风险管理也只是信息科技部门的责任,导致了信息科技治理结构不够完善,信息科技风险管理缺乏业务、风险管理、内部审计部门的有效支持。高级管理层在“口头上”都很重视,但高级管理层很少履行切实的承诺,在资金上给与足够的支持。更多金融机构注重从技术层面加强边界保护,而很少从流程、技术、人员三个不可分离的层面从事信息安全管理工作。由于当前在信息科技风险管控方面不能够满足外部监管机构的要求,从而给金融机构带来合规风险。即使金融机构应结合自身业务发展战略,在对信息科技风险评估的基础上,借鉴先进金融机构的良好做法和国际标准基础上,制定出与业务发展目标保持一致的信息科技风险管理战略。加强信息科技风险治理结构建设,设计出包括高级管理层、业务部门、信息科技部门、风险管理部门、审计和合规部门在内的信息科技风险治理架构,以满足信息科技风险管理对治理结构的要求。从业务需求出发,从人员、技术和流程三个角度加强信息科技风险管控程序建设,逐步提高信息科技风险管控能力,满足外部监管要求。还要持续地加强高级管理层、管理层以及一般人员,并包括合作伙伴等人员的信息安全意识教育和培训。
鉴于实业界对金融信息化风险的高度重视,本文从金融信息化风险概念、分类和管控方法等方面对现有文献中的相关理论进行回顾,并对国内外的研究现状进行进一步的对比分析。
2.金融信息化风险的内涵和分类
2.1 金融信息化风险的概念
金融信息化风险是信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险。信息科技风险不是一种新的风险类型,而是一种系数型风险,其风险就在于随着信息科技对银行经营与管理的不断渗透,会使已存在的交易、战略、法律、信誉等风险扩大化。金融信息化风险是金融企业风险之一。2.2 金融信息化风险的来源
金融机构信息系统风险的主要挑战来自于基础技术的复杂性和多变性。具体而言,金融机构信息技术的复杂多变通过以下几种渠道可能导致风险的产生。(1)电子商业银行的技术创新和客户服务变革的速度比传统的创新更快,例如在新技术和新业务的推出时间周期大大缩短,因此很难预测客户的需求。客户需求波动与服务能力的不一致给商业银行带来了资源浪费或损失顾客的风险。(2)在线上交易中,Web站点要与金融机构后台核心业务系统互联互通。因此,信息系统的架构设计必须较为合理,在操作性和可用性上有良好的体验。对技术的依赖程度增加使得风险更为集中,风险的管控要求更高的技术素养、知识和能力。(3)网络银行与传统银行采用了不同的服务模式,其价值链中引入更多合作伙伴、合作联盟和外包服务商,从而增强了网络银行的操作和安全复杂性。新的服务模式融入了金融机构和非金融机构,但这些非金融机构并不在金融业的监管之列,使得技术风险监管产生了许多复杂的问题,在出现故障或发生问题时,很难界定各自的责任。(4)互联网本身无所不在的特性,使信息访问的各个环节都很难控制,一系列相应技术的应用,如授权管理、客户身份确认技术、信息等级管理制度、稽核跟踪技术等,使得金融机构必须投入更多资源才能确保对信息访问的严格控制,从而在无形中提高了事故发生的可能性。(5)随着移动互联网在商业银行信息系统中的应用(如无线POS、移动银行等),在实现将移动互联网与现有的网络平台互联时,信息更容易受到攻击。(6)伴随着我国各金融机构数据大集中的开展,商业银行各种技术风险也相应集中,对数据大集中的稳定性、高效性和可靠性提出了更高的要求。
2.3 金融信息化风险的分类
按照产生来源,金融机构的信息化风险可划分为内部风险和外部风险。(1)内部风险
内部风险是信息化风险的主要来源,IDC的报告显示,只有30%的安全损失是由企业外部原因造成的。CIA(情报局)和FBI(联邦调查局)的数据也表明,超过85%的安全威胁来自企业内部,威胁源包括内部操作不当、未授权的存取、专利信息被窃取、内部腐败、内部人员的财务欺骗等。
1)信息安全风险。金融机构数据库管理系统漏洞,可能引起数据损坏或丢失、系统被攻击或应用系统无法正常运行,或导致信息系统数据处理错误、内控措施失效或数据安全性受损等信息安全问题。2)金融机构核心业务系统风险。商业银行第二代核心业务系统包括信贷、柜台、账务、管理等模块;第三代核心业务系统则涵盖了客户关系管理、风险管理、市场营销分析等模块;第四代核心业务系统正在建设中,更强调数据共享和SOA架构(Service Oriented Architecture,面向服务的架构),更注重业务流程与信息流程的协调。核心系统一旦出现漏洞或故障,则可能带来银行服务能力丧失的巨大风险。3)基础信息技术风险。诸如硬件设备的安全漏洞;应用软件服务系统可能遭到侵害的风险;网络技术方案选择不当;信息传输失真;网络信息被篡改、截取或损害;软件运行论文导读:
故障;信息系统设计不合理、加密技术没有更新。4)信息技术引发的业务中断风险。因软硬件运行故障、系统超负荷运行、主干网络断开、病毒传播、人为非法操作或无意误操作,均可导致金融机构业务中断的风险。5)信息科技系统闲置引起的低效率风险。当一家金融机构业务量不足而信息科技系统规模过大,软硬件设施之间、各项设施内部配置结构不合理,以及因缺乏整体规划重复建设功能相近或相同的设施,均会造成资源闲置。6)信息孤岛效应。金融机构内部大多缺乏统一的资源数据库,现有信息系统各自运行,无法实现数据共享,使得管理层获取不同信息需进入不同系统,造成信息孤岛效应。事实上,不光各金融机构总部与分支机构信息不对称,即便是金融机构总行高管层也难以从一个系统及时获取全面信息。源于:论文致谢范文www.7ctime.com
图1 ISO13355以风险为核心的安全模型
4.
1.3 ITCG
CICA于1970年出版了计算机控制指南(Computer Control Guidelines),也就是ITCG的第一版,并被全球企业所广泛使用。1998年CICA发布了第三版,更名为信息技术控制指南(ITCG,Information Technology Control Guidelines)。在ITCG中,风险管理自始至终都是一个核心概念,且风险管理的对象主要侧重于管理信息技术风险。但是,这一标准框架结构过于偏重单个企业信息系统的安全风险,在企业信息技术的组织管理层次框架和过程性方面存在一定的不足,在企业IT治理上的应用还有完善的空间。
4.
1.4 英国银行业防控信息系统风险中的普遍做法
一是制定信息系统风险管理制度,将所有制度文档化,并与行业标准进行比较以确保制度的正确有效,同时要确保相关制度在工作流程中得以充分体现,避免遗漏,并有相应机制保证,随着业务变化而随时更新,同时,在实际流程中测试制度是否达到预期目的,确保制度与实际业务需求一致。二是设置专门机构执行防控制度,以确保制度得以绝对落实。三是在系统设计中尽量增加自动化的业务流程,减少人工干预的可能性,减少信息系统的复杂性,确保管理过程中无意外事件发生。四是保证数据的安全性、可用性、可靠性、可记录性,并有足够规模,确定严格授权限制。五是在发生意外事件后快速反应并及时调整,在后续时间里排查类似错误并及时处理。4.
1.5 美国银行业防控信息系统风险中的普遍做法
美国的IT风险监管起步较早,联邦金融机构检查委员会(FFIEC)在1978年就建立了信息系统评级体系,美国银行监管机构对信息化的风险继承了传统业务监管的法制健全、多头管理、分工细致、采用风险性监管等特点,出台了近百个有关IT风险监管的法律、规范、标准和指南,建立了URSIT信息科技监管评级体系。主要关注于以下几个方面:一是对信息科技服务外包商的监管是银行IT风险监管不可分割的一部分;二是建立了决定监管关注程度的风险评级体系,通过URSIT对信息科技进行风险评价评级;三是力求在评估银行的整体风险及经营状况时恰当地反映信息科技风险的影响:一方面,信息化风险不是一种新的风险类型,而是一种系统性风险,其风险在于信息技术对金融机构各个层面的渗透会使得已有的交易、战略、法律、信誉等风险扩大,因此在评估金融机构整体风险时一定要准确和充分地考虑信息化风险的影响;但另一方面,信息技术日新月异、涉及大量专业知识,与一般的业务大不相同,监管人员难以掌握足够的知识兼顾IT和业务,也就难以把握此类风险对金融机构整体风险的影响;四是借助良好的公司治理来确保银行董事及高级管理者在信息科技领域的作用,风险管理系统是否健全,董事及高级管理者起着关键性作用,尤其是在更新较快、投资大、技术复杂而且风险高的IT领域,正确的决策及完善的日常管理十分重要;五是跨国合作关系越来越密切,尤其对与国际标准与规范化组织的合作。4.
1.6 美国网络银行的风险控制
对于虚拟金融业务风险及其所依靠的新技术风险,目前美国网络银行主要遵循1999年10月美国财政部货币总监署(负责对全国性银行和外国银行执行央行职能的OCC)颁布的《总监手册———互联网银行业务》(以下简称《手册》)。其主要内容包括:(1)管理新技术相关的风险。对新技术的风险管理包含三个基本要素:一是对技术应用的规划;二是对技术的实施;三是对风险的衡量和监控手段。(2)网络银行内部风险控制体系,主要包括三个方面:一、确定控制目标:如数据的可用性、完整性和管理信息系统的可靠性。二、建立全面的内部管控体系,从内部会计控制、运营控制和管理控制三个基本层面实行内部控制。三、采用预防性控制、侦测控制和纠正控制这三种方法并贯穿在上述这三个层次中。(3)网络银行对来源于网络供应商方面的风险控制。在美国,使用这种选择的网络银行同网络供应商签订正式合同,明确列明有关各方的职责,银行特别小心谨慎,以确保不在安全性方面让步。(4)从网络银行客户和消费者角度实现风险控制。在美国,网络银行对其客户的风险控制方法主要聚焦在以下两点:一、对网络金融产品和服务进行良好的管理,以保持足够的安全水平。二、在对消费者的隐私保护方面,网络银行一般积极主动地正视并响应客户隐私问题,使之成为银行的正面形象和对客户的一种利益。为了做到这两点,网络银行一般与客户签订服务协议。
4.
1.7 金融监管机构对网上银行的监管
2002年5月16日,美国货币监理署发布了网络银行活动的正式管理规定,即《网络银行最终规则》。其制定原则是,促进商业银行有效利用网络技术的前提是保证商业银行安全、稳健的经营。规则明确了网络银行各项业务范围的边界,摘自:毕业论文标准格式www.7ctime.com赋予了网络银行开展业务需要的权力。规则还强调了透明度原则,采取了对网络银行业务系统的检查,而像过去将网络银行简单地视为销售通道,对这种网络销售方式展开单一评估。
4.2 国内标准
(1)以2005年2月l日实施的《商业银行内部控制评价试行办法》为框架人民银行出台了“人民银行计算机论文导读:事的不良风气与行为。商业银行等金融机构应建立相应的风险管理保障机制、评估预警机制以及应对突发事件的处理机制,构筑技术部门应的安全检查防线,风险部门的风险监控防线,以及审计部门进行审计、监督防线。信息科技风险普遍仍被视为技术风险,未上升到统筹管理、全面监管的高度来认识。大多银行不是由“一把手”亲自抓信信息系统内部控制的审计评价”,“商业银行内部控制评价技术要点解析与具体操作实用手册”等。
总的说来,随着信息技术的快速发展,银行业信息系统环境下的内部控制变得越来越重要,商业银行信息系统的内部控制应该采用规范的体系。虽然内部控制评价办法中“信息系统环境下的控制”相关的词条较多,但离规范体系还相差较远。常见的评价办法过于简单,例如仅仅根据几页检查表进行信息系统的安全检查,由此难以准确地评价一个企业信息系统内控机制建设的好坏,评价结果与实际肯定不符。
(2)中国与银行业科技信息风险相关的法律法规。GB/T18336(信息技术安全性评估准则)、GB/T19716(信息技术信息安全管理实用规则)、GB/T19715(信息技术安全管理指南)、GB/T22239(等级保护实施细则)等等;涉及行业标准的有:银监会发布《电子银行安全评估指引》、《商业银行信息科技风险管理指引》、发布《信息系统等级保护基本要求与实施指南》。其中,行业标准一般提供了金融机构信息科技的治理体系(如董事会应履行的信息科技管理职责,首席信息官制度,信息科技部门内部管理职责,信息科技风险管理制度等),信息科技风险评估计划和信息科技风险管理策略,信息安全管理策略和职能机构设定,信息系统开发、测试和维护方面的流程规范,信息技术外包准则,信息技术审计制度等方面的规范。
5.国内外金融信息化风险管控的差距
5.1 法律与信用环境不健全
目前,我国金融业信息化方面的专项法律还不够完善,特别缺乏惩治利用计算机进行金融犯罪活动的有关专项法律条文。现有法律体系不能有力地约束计算机方面的不良行为,不能有力地打击犯罪、对信息犯罪行为构成法律威慑。我国计算机网络犯罪已呈低龄化、低门槛、集团化发展趋势,作案手段多样、时间短、过程简单,犯罪工具获得容易,可操作性强,作案痕迹容易销毁,取证难等新特点。致使发现侦破却十分困难,机关通常需要采用跨地域侦查取证的办案方式,成本高、效率低。而与之相呼应的国内相关信息安全法律还不够健全,个人信用体系还没有建立起来,由于犯罪成本相对较低,滋生犯罪分子铤而走险,致使网络犯罪案件越来越多。随着银行网上银行应用的普及,利益驱动为目的的网络犯罪日趋严重,银行系统成为首当其冲的攻击对象,银行系统面临的网络攻击威胁已越来越大。我国目前的相关法规虽然覆盖到了网上证券交易、计算机使用安全保障等方面,但还远没有达到金融信息化的要求。为了适应信息化时代金融发展的要求,我国应借鉴发达国家的成熟经验,避免发达国家走过的弯路,在信息化金融发展的初期就拟定、颁布并严格执行相关法律法规。
完善的社会信用制度是减少金融风险、促进金融业健康有序发展的制度保障。没有完善的社会信用体系,交易主体就不会对自己和他人的经济行为产生确定性预期,信息技术的虚拟性会使这种源于:论文的标准格式www.7ctime.com
不确定性预期得到强化。我国社会缺少契约精神的根基,企业之间对契约的承诺和遵守缺乏习惯上的约束,因此,社会信用制度的逐步建立是提高金融企业管控信息化风险的关键之一。
5.2 信息化风险管控机制不合理
信息科技的治理是对包括领导关系、组织结构以及工作流程等方面的治理,是公司治理的组成部分,目的是使保障信息科技与组织的战略目标保持一致。我国金融业尤其是银行的信息系统需要监管的风险资产很大,当前我国还没有建立基本的专业化信息资产风险监管组织。从国外金融业信息化风险管控的经验来看,商业银行信息技术的运营与管理应该是相互分离的。但目前大多数国内商业银行的信息技术部门既负责信息系统的规划、实施、运营维护等工作,又对信息化风险的管理和监督负责,其他部门很难或很少参与。这种组织架构蕴藏着很大的运营风险:一方面,由于高级管理层和风险控制部门缺乏专业的信息技术知识,因此无法对信息部门实施有效监管。而各家商业银行在组织架构上缺乏负责制定信息系统管理政策、技术标准、风险防范标准,和监督、检查和绩效评估等工作的专门管理部门。另一方面,由于缺乏有效的外部监管,以及自身的趋利避害性,IT部门本身难以胜任信息技术的监管职责,而且容易产生责任推诿、自行其事的不良风气与行为。商业银行等金融机构应建立相应的风险管理保障机制、评估预警机制以及应对突发事件的处理机制,构筑技术部门应的安全检查防线,风险部门的风险监控防线,以及审计部门进行审计、监督防线。信息科技风险普遍仍被视为技术风险,未上升到统筹管理、全面监管的高度来认识。大多银行不是由“一把手”亲自抓信息科技风险管理,甚至不由技术总监而是由技术部门经理来负责。
5.3 信息化风险评估方法体系不科学
信息化风险的评估决定了金融机构对风险的应对措施,因此评估方法体系的科学性对风险造成的损失由重要影响。目前,我国金融机构信息化风险的评估工作大部分停留在定性层面,缺乏对IT风险的专业定量分析。信息系统研发和其他业务管理一样,热衷追求项目上线数量,粗放经营情况普遍。目前的考核机制规定了绩效考核与基层部门风险管理业绩相关,导致基层单位本能地对风险进行低调处理,例如定期上报信息安全报告时,相关统计数据可能被尽量缩小。另一方面,金融机构缺乏对分散在各个组织中的零散系统中的安全事件进行关联性分析。很多金融机构没有成立专业的风险分析团队,缺乏对全局信息安全状况的分析、支持和风险预警的能力。此外,信息化风险管控手段大多停留在制度检查层面,没有将制度固化在信息技术中。最后,金融机构的风险管理呈现事后发现问题较多的特点,对事前预防作用的重视不足,缺乏事中控制的能力。银行缺乏IT风险进行自我评估、自我加固的内在动力。5.4 信息化风险的主动防范意识欠缺
金融业信息化风险管理亟待从以防范为主的被动信息安全工作,转变为以预防控制为主的主动IT风险管理。由于主动预警、防范风险能使得风险来临之前,企业采取规避、转移、延缓等措施应对风险,从而将风险带来的损失降到最低,因此国外的IT风险管控比较重视事前防范。为此,我国金融机构应该汲取国外风险管控的经验,重新论文导读:规划IT风险管理体系,制订紧跟业务发展的IT风险管理体系架构,完善适应我国银行业发展战略的信息安全政策和标准规范体系,推广实施信息安全基础设施。
6.总结
随着金融业对信息技术的依赖程度越来越高,信息技术所引发的金融风险引起了越来越多学者的关注。金融信息安全问题已经由一个潜在的风险转化成切实的潜在危机,仅仅用狭义的风险管理来考虑安全问题已经不够,还必须考虑危机管理和业务连续性管理。以指导企业如何对金融信息化风险进行有效地管理和控制为研究的出发点,本文从金融信息化风险的概念、分类和管控方法三个方面对国内外有关文献进行了回顾,并在此基础上对国内外风险管控的差距进行了分析。
参考文献:
李剑,张然,等,编.信息安全概论(V01)[M].北京:机械工业出版社,2009.
唐磊.商业银行信息科技风险现状与管理策略分析[J].中国金融电脑,2009,02.
[3]骆鉴.论国外金融信息化风险管理与控制[D].
[4]吉猛.商业银行信息系统内部控制研究[D]
[5]孙长青.二级分行信息科技风险现状剖析与防范对策[J].中国金融电脑,2009,09.
[6]谢宗晓,郭立生,等,编.信息安全管理体系应用手册[M].中国金融出版社,P36.
[7]宋春燕.一级分行信息科技风险点分析及防范策略[J].中国金融电脑,2009,11.
[8]张成虎.银行技术风险监管[M].经济管理出版社,2005,11.
[9]CICA, Information control Guidelines, CICA, 1998.
[10]吴庆田.美国网络银行的风险控制分析与借鉴.
[11]银监会.商业银行信息科技风险管理指引.
[12]张玉喜.网络金融的风险管理研究[J].管理世界,2002(10):139—140.
[13]刘萍.浅析金融信息安全[J].甘肃金融,2009,7.
[14]陈蕾蕾.国内商业银行信息科技风险管理研究[D].
作者简介:丁邡(1972—),女,安徽合肥人,博士,研究方向:决策与信息管理。