如何防范银行业信息科技风险事故.pdfVIP

经理日报/2008 年/2 月/22 日/第A02 版 焦点新闻 如何防范银行业信息科技风险事故 刘诗平 　白洁纯 中国银监会日前通报了去年以来银行业金融机构发生的5 起信息科技风险事件，指出目前银 行业信息科技方面存在基础建设滞后、软硬件及核心技术受制于人等问题，确定把信息科技风险 纳入银行总体风险监管框架。 ● 5 起信息科技风险事件暴露银行业信息系统脆弱 中国银监会副主席郭利根日前在银行业信息科技风险奥运专项自查工作部署会上，通报了去 年以来银行业金融机构发生的5 起信息科技风险事件。这5 起事件是： 2007 年3 月21 日，交通银行因主机监控软件存在缺陷，导致业务交易阻塞，系统瘫痪近4 小时，所有营业网点无法正常开展业务。 2007 年8 月 15 日，中国工商银行对计算机系统进行升级，但由于没有避开业务高峰期，导 致个人业务系统运行不畅，业务办理速度缓慢，部分代理证券业务受阻，在持续5 个半小时后， 系统才逐步恢复正常。 2007 年10 月18 日，中国建设银行股民保证金第三方存管系统出现故障，与券商的交易无法 正常进行。事故持续了2 个小时，在证券交易收盘后才恢复正常。 2007 年12 月21 日，招商银行因运行中心核心网络设备出现故障，造成业务无法正常进行， 虽启动应急预案，但仍然中断营业近1 个小时。 今年1 月7 日，北京银行因主干专线的入户接入设备发生故障，造成在京117 家支行所属网 点柜台交易缓慢，业务无法正常进行，故障持续1 个多小时后才得以解决。 郭利根说，发生事故的这些机构，在 IT 技术和风险管控上属国内较先进的银行。事故的发 生，充分暴露出我国银行业信息系统的脆弱性，应引起高度关注和认真反思。 郭利根强调，今年是奥运年，也是我国银行业信息科技风险管控的关键之年。各银行必须从 维护整个银行业安全高效、稳健运行的大局出发，全力保证信息系统的安全可靠和稳定运行。 ● 软硬件及核心技术受制于人 银行业信息科技建设存在4 大问题 郭利根分析指出，去年以来一系列重大事故发生的原因，主要是目前银行业信息科技方面存 在以下4 方面问题： 一是基础建设滞后于业务高速增长。2007 年12 月末，银行业金融机构总资产从2002 年末的 23.7 万亿元增加到52.6 万亿元，银行业取得了长足进步。但在基础建设上，按照国际惯例，核心 业务系统主机容量使用率如超过60%，就需扩大系统容量，但国内很多银行都已超过这个指标， 如工行等5 大国有银行核心业务系统主机容量平均使用率为67%，个别银行核心业务系统主机容 量峰值使用率甚至高达90% 。 二是软硬件及核心技术受制于人。目前，各银行大多数高端软硬件设备都是进口的，同时软 件开发大多是外包给第三方。大量外包往往造成项目管理服务不到位，产权转移不彻底，核心技 术受制于人，而且存在严重的安全隐患。 三是科技治理和系统管理粗放。从 2007 年银监会对境内主要商业银行信息科技风险状况进 行的评估结果看，有占总数48% 的银行在规划部门、技术风险管理部门和审计部门三者之间的职 责分工、管理流程等方面存在严重问题。在业务连续性规划、业务恢复机制、风险化解和转移措 施、技术恢复方案等方面，存在明显的“短板”。 第1 页 共2 页 四是队伍建设很不适应。随着银行信息化程度不断提高，各银行科技队伍建设面临严峻考验。 特别是尖端人才的短缺，已成为制约银行信息科技建设和风险管控能力提高的重要瓶颈。 ● 信息科技风险纳入银行总体风险管理框架 银监会强调，把银行业信息科技风险纳入银行总体风险监管框架，切实加强制度建设和风险 监控，确保银行业信息系统安全稳定，确保奥运支付安全。 ——集成资源，形成信息科技风险监管合力。今后对信息科技风险的监管，在横向上，实行 机构监管部门与信息科技部门联合的方式进行，努力实现机构监管与功能监管的有机结合。在纵 向上，实行银监会机关与各银监局之间联动，适度集成全系统的信息科技监管资源，发挥功能监 管优势。 ——搞好规划，全面加强信息科技风险监管制度建设。根据银行业务快速增长、信息科技发 展日新月异的新情况，加强规划论证，尽快