关于城商行信息科技风险管理思考.docVIP

关于城商行信息科技风险管理的思考 　　金融创新步伐加快，信息技术迅猛发展，银行业金融机构的信息科技风险逐步增大，银行业以及监管当局日益重视信息科技风险的管理和监管。巴塞尔新资本协议明确地将操作风险纳入资本监管的范畴，而信息科技风险是操作风险的重要组成部分。为加强我国商业银行信息科技风险管理，中国银监会2009年正式发布了《商业银行信息科技风险管理指引》，适用于境内依法设立的法人商业银行，其他银行业金融机构参照执行。 　　尽管近年来城商行资产规模快速扩张，跨区域经营，获得了突飞猛进的发展，风险管理理念和信息技术水平得到了有力提升，资产质量得到了有效改善。但由于脱胎于城市信用社，受制于总体规模较小，地域性强，创新不足，信息技术落后等因素，整体上风险管理水平和能力相对于大型银行和全国股份制银行依然偏弱。尤其是对于信息科技风险管理的重???程度有待进一步提高，信息科技风险管理的方式方法有待进一步改进，信息科技风险管理的体制机制有待进一步完善。 　　 　　城商行信息科技风险特点和表现形式 　　 　　城商行发展历程不长，正处于快速扩张阶段，而且受制于规模和财务能力限制，其信息科技建设往往跟不上业务的快速发展。其信息科技风险特点和表现形式往往不同于国际活跃银行和国内大中型商业银行。 　　 　　信息基础设施建设严重滞后于业务快速增长。按照国际惯例，商业银行核心业务系统主机容量使用率如果超过60％的话，就需要扩大系统容量，而国内很多城市商业银行都超过这个指标。更为明显的是，某城市商业银行2008年发生的柜台交易缓慢，业务持续一个多小时无法正常进行，仅仅就因为主干网线的入户接入设备发生故障。 　　 　　城商行大多没有明晰的信息科技风险管理架构。首先，很少有城商行设置专门的信息科技风险管理机构。一般都是由科技信息部门负责信息科技风险的管理和处置，既负责信息系统和项目的开发维护，同时也负责科技风险管理，没有对此进行独立评价的部门和人员。信息科技风险归口科技信息部门，风险管理部门介入很少。其次，由于财力和人力的限制，城商行一般都根据自身能力落实信息科技风险管理，没有设立独立的信息科技风险机构和人员，没有建立完善的信息科技风险事故报告、监测和应急机制。 　　 　　城商行信息科技风险专业人员缺乏，而且配备不足。首先，信息科技风险是金融业务与信息技术结合的产物，专业人员需具备综合能力，既要熟悉银行基本业务，也要熟悉信息系统架构和技术。城商行一方面专业人员缺乏，另一方面，各银行之间对于高层次人才的争夺也十分激烈。城商行在科技人才的竞争中处于不利地位。其次，城商行科技人员配备不足。国内商业银行科技人员配置比例一般是2％～2.5％，而大型银行的人员配置比例更高。据报道，国内某城商行如果按照2.5%的人员配置的话，应该至少需要科技人员200人，而该城商行全辖只有45个专业科技人员，远远低于国内银行平均水平。这在业务快速发展的城商行界非常普遍，因为城商行还是不同程度地存在着重业务发展，轻风险管理的现象。 　　 　　城商行信息科技服务外包管理有待完善和规范。由于受到规模和技术力量的限制，城商行的信息系统开发一般都是外包给技术厂商，特别是有些系统的维保等也是外包给厂商的。但是城商行平时应用较多的应用系统，如核心业务系统、信贷业务系统和网上银行等，均需要在厂商成熟产品的基础上，再进行个性化的开发或者优化，专业化程度高，城商行自身科技人员难以满足开发的要求，外包存在一定风险，需要规范科技信息外包管理。此外，服务外包合同条款，外包商的服务水平评估，外包风险的应急措施及防范，以及外包管理的审核、管理机制等均有待完善。 　　 　　城商行信息科技风险管理的经验介绍 　　 　　随着国内城商行的快速发展，信息科技风险管理越来越得到城商行的高度重视。一些优秀的国内城商行在信息科技风险管理方面也取得了骄人的成绩，归纳以来，主要有以下四点。 　　 　　城商行的“两会一层”等高级管理层要高度重视信息科技风险管理工作。在信息技术高速发展的时代，银行开展任何业务、风险管控和管理创新都离不开信息科技，而信息科技的广泛应用，必然会带来信息科技风险。而信息科技风险的产生不但会影响正常业务，产生直接损失，而且会产生声誉风险。重视信息科技风险管理不光是思想上，或者是口头上，更要落到实处，即是在人力、物力和财力上予以保证。 　　 　　顺应监管要求。建立完善的信息科技风险治理架构。明确信息科技风险管理的主责任人， 　　“两会一层”以及首席信息官的相关职责，设立或指定一个特定部门负责信息科技风险管理工作，直接向首席信息官报告工作，明确风险管理部门、信息科技部门以及内部审计等相关部门在信息科技风险管理中承担不同的角色和职责，构建既相互协作，又独立开展工作的信息科技风险管