银行开发风险管理.docVIP

银行IT建设与风险管理交流文档之一 本人在一家城商行（下面以XXX银行指代）负责IT风险管理 工作，前段时间应领导要求与同城另一家银行（下面以XX行指代）的IT部门负责人进行了沟通，我将自己这几年对银行IT建设与风险管理的想法总结成了几篇 文档发给了对方，其中也包括针对对方提出的问题作出的一些个人意见和建议。这里先发出第一篇，希望跟大家交流、学习一下。题目：针对XX银行IT现状的反馈建议? ? ? ? XX银行作为一家重组后成立的新银行，IT建设正处于起步阶段，可以充分借鉴XXX银行以及国内外其他同行的经验与教训，先规划后实施、建设和管理并重，少走弯路，以实现IT投资效益的最大化，在风险可控的前提下，达到IT大力支撑业务发展的目标。针对《XX银行IT现状》材料，结合XXX银行的情况以及个人的知识积累，阐述下对材料中提到的各项差距的看法。差距一：全行IT建设思想和认识不统一? ? 银行业金融机构运用IT是为业务发展服务的，但服务的方式是有差别的，因此需要找好IT的定位。IT是紧跟业务需求实施支持，还是与业务相辅相成，还是利 用技术引导业务创新？这种定位需要结合自身的实际情况来决策，不同的定位决定了不同的IT建设模式，会影响后续人力、物力、资金等一系列的投入。XX银行 目前所处的发展阶段，可能应该将IT定位于主要满足现有的业务发展要求，补充建设欠缺的IT系统，提高信息化水平，支持网点和产品扩张，离通过IT来引领 业务发展，增强核心竞争力还有一定的距离，但这可以是一个中长期的发展战略。? ? 对于IT系统应该采取一种全生命周期的视角去看待，一套系统从设计到开发到上线运行到淘汰，就像人一样是有个连续的过程的。行业经验表明系统开发只占系统生命周期的30%，银行不是为了上一套系统而去开发一套系统，系统的真正价值在于它运行起来，并满足使用目的。为什么要上马一套系统应该经过充分的分析 （按照监管要求必须建设的系统除外），要结合业务需求、技术可行性、成本、收益、实施风险等多种因素来考虑。差距二：信息科技中长期发展规划欠缺? ? XXX银行就吃过无规划建设的亏，就像修房子没有设计图纸所造成的后果一样。系统建设只从该系统本身出发考虑，忽略了整个IT架构，忽略了系统间的连接，并且缺乏前瞻性；另一方面，没有规划就不清楚该建什么系统，什么系统先建什么后建。IT规划一定要有可落地性，在一个宏观整体规划的基础上，最好可以针对IT基础设施、应用架构、数据标准等各个具体的方面制定子规划。子规划的针对性更强、内容更详细，更利于落地，指导具体的建设步骤。差距三：技术和业务结合不够紧密? ? 隔行如隔山，业务部门与科技部门使用的是不同的语言，相互之间具有天然的鸿沟，这是不足为奇的，但在银行业金融机构的IT建设之路上必须尽可能地缩小甚至 消除这种鸿沟。绝大多数的IT资源（应用系统、网络、主机等）不是建设起来供科技部门使用的，广大业务部门和员工才是IT资源的真正用户，因此他们应该深 入参与到IT建设中来。但是这种参与不可能自觉发生，需要一些前提条件：1.意识的建立。IT不是魔术棒，不是简单告诉IT人员需要什么系统，他们就可以变一个完美的系统供你使用。你要对IT人员详细描述你对这个系统的需求， 后者才能将其转化为计算机程序。反之，IT人员也不能对业务熟视无睹，不理解用户的需求是无法开发出好的系统的。业务部门和科技部门可以建立定期的沟通机 制，甚至人员互换计划，促进相互了解和理解。2.责任制的明确。可以考虑采取“谁使用谁受益，就谁负责”的原则，使系统使用部门承担起牵头建设的责任。3. 成本和收益分摊、系统后评估等机制的建立，才能促使该原则真正地有效。IT系统的建设和维护成本不能完全计算到科技部门头上，因为系统最终使用者是业务部 门，真正的用户为什么不承担使用成本呢？IT系统产生的收益（主要是针对产品类和服务类IT系统，例如理财管理系统、网银等）不能完全计算到业务部门头 上，因为系统的正常运行是由科技部门提供保障的，服务提供者的贡献为什么被忽略了呢？差距四：科技管理制度和组织架构还需进一步完善? ? 制度是有一个框架的，从策略到标准到流程，逐步细化，越来越具备操作性，同时要覆盖所有的方面。1.制度的制定不能只由科技部门完成，一开始就应将业务部门、风险管理部门、审计部门加入，共同起草制度草案，而不要等到初稿都写完了再来征求各方意见，这样效率很低。2.制度制定出来后不是摆设，必须严格执行，定期对执行效果进行审查。3.必须建立制度的跟踪、更新机制，否则会形成文档和实际操作两张皮的状况。4.制度一定要全行公示，容易查看，否则员工的惰性容易造成不按制度规定的方式做事。差距五：人员少、专业化技术水平亟待提高? ? IT人员配备数量、