中小金融机构信息化过程中面临的风险.docVIP

/120shtml 地方性中小银行信息安全风险存在的问题及相关对策 ——以雅安市城市商业银行为例 伴随国民经济快速增长，金融业迎来了前所未有的发展机遇，地方性中小银行快速成长，信息化基础设施不断完善，核心系统功能不断增强，金融服务内涵和外沿不断扩大。但是，信息化作为一把“双刃剑”在提高银行业整体服务水平的同时，伴生的信息安全风险日益凸现。因此，加强信息安全建设已成为地方性中小银行亟待解决的问题。 一、地方性中小银行信息安全现状 （一）规范化进程缓慢 在银行业运作模式从传统走向现代化的背景下，金融管理机构开始推进和完善信息安全框架。人民银行在2006年出台了《关于进一步加强银行业金融机构信息安全保障工作的通知》，2008年制定了《银行业信息系统灾难恢复管理规范》（JR/T 0044—2008），2011年出台了《中国人民银行金融城域网入网管理办法（试行）》，对商业银行的信息系统规范化管理和风险识别、度量、跟踪和控制均提出了具体要求。各商业银行均大力推动了IT审计的进程，而地方性中小银行由于自身区域性强、资产规模较小的原因，在信息安全管理规范化方面总体水平较差。 （二）发展有差距 近年来，国内银行业陆续经历了“缩小化”、“大型化”和“集中化”等信息化发展阶段，大型银行在IT风险管理上已经比较完善，并达到国际先进水平，而地方性中小银行发展却相对滞后。以雅安市城市商业银行为例，尽管该行自2009年以来，累计投入1000万以上的资金用于信息化建设，大力提升信息化水平，但由于起步晚、起点低、投入有限等原因，信息安全风险防范能力十分有限。 二、加强信息安全的对策与建议 如何“稳健运营”成为当务之急，在高度信息化后面临的信息系统风险和挑战成为亟需解决的问题。而对于雅安市城市商业银行这样的中小金融机构虽然在某些方面已经取得了一些进步，但实力决定了不可能如四大行一般大规模数据集中后，建立多个数据中心，实施完备的IT风险体系建设和管理。因此结合自身区域性强、资产规模较小的特点，尝试从IT系统架构的角度解决和化解IT系统运行风险。 IT系统架构主要包括了业务架构、平台应用架构、信息安全管理架构、IT管理架构和IT设施架构。本文尝试从以上几个方面分析IT系统风险及对策。 一、雅安市商业银行等同类中小型金融机构存在金融风险和信息风险 自上世纪九十年代初至今的30年间，金融电子化发展迅速，在这30年里，银行系统发生了翻天覆地的变化，一是从单一的记账系统发展到了现在的综合业务系统，涵盖了产品管理与交付、渠道流程管理、客户价值管理、风险与审计控制、知识管理、全方位的银行IT体系，包含了整个银行系统的业务价值链；二是从原来的集中式柜台交易录入转变成现在的渠道整合体系，成为了集网络、移动平台、自助服务等一体的综合渠道交付体系；三是交易方式的改变，由原来的面向银行内部的交易系统发展成为现在的面向客户的服务交付平台。这些改变都离不开信息技术发展，信息技术的银行业的发展影响深远。然而，在信息技术在促进银行业的发展同时，也带来了巨大的技术风险，有其是中小型金融机构。 比如在港澳地区的金融市场，因IT失效导致银行受损的案例比比皆是，在香港，每年因IT故障而严重影响客户以及业务的事件就有数十起，有的的故障导致了银行损失巨大，其信誉也遭受了严重的打击。而在大陆，平均每年因IT失效导致损失的事件也在几十起，可见，在当今这个银行电子化、信息深入化的金融行业，信息技术安全对金融业得发展造成了严重的风险。 对银行业的发展，主要的风险大致分四类，分别是市场风险、信用风险、流动性风险和操作风险。在流程上来说，因银行IT属于内部流程，因此Basel银行监督委员会将IT风险属于操作风险，而这并不代表银行IT风险不重要，相反，Basel银行监督委员会在2003年对电子银行所面临的挑战中指出，电子银行所面临的四点挑战，一是技术的高速发展和对客服务上的创新，二是新的网上零售和批发银行业务直接进行金融交易，而电子交易依赖于原有的核心系统，三是电子银行增加了银行对IT的依赖，四是互联网无处不在。 然而，在很大程度上，银行IT都需要对电子银行所面临的风险进行面对，电子银行的风险状况也多多少少的反应了银行业务与IT体系的风险装款，但电子银行的风险也只是银行IT风险的一部分，其实，银行IT的风险点非常多，主要有以下几点： 1、系统宕机，服务中断 2、处理流程或者计算错误，比如计息错误 3、系统响应时间过长 4、数据不准确，比如对账错误 5、数据记录不完整或不正确 6、客户信息泄露，比如被盗 7、客户账户资料或者客户身份ID被冒用 8、病毒 9、自动电子渠道遭受攻击，比如黑客入侵、拒绝服务攻击、电话渠道攻击 10、自然灾害带来的设备、数据的毁损、服务中断 这些信息技术的风险点产生的原因