商业银行IT控制框架构建与应用研究.docVIP

商业银行IT控制框架构建与应用研究 　　一、引言 　　商业银行是“以获取利润为经营目标、以多种金融资产和金融负债为经营对象、具有综合性服务功能的金融企业”。近年来，我国银行业的信息化建设取得了令人瞩目的成就，信息技术已经成为银行企业经营管理的“中枢”。为了不断提升核心竞争力，各家银行都非常重视信息技术的发展，信息技术投入占整个银行投入的比重逐年增加。信息技术是银行发展的“引擎”，银行要加快发展和提高管理水平，就必须优先发展和应用先进的信息技术，技术部门从“后台”走到“前台”，通过持续不断地应用新的信息技术，或者通过信息技术创新引领业务创新和管理创新，从而“牵引”银行快速向前发展。 　　然而，在我国商业银行信息化建设过程中，不少商业银行没有充分认识到信息化建设在经营管理中的积极作用，因而在信息化建设过程中定位不清，花费了大量的时间和精力，投入越来越庞大，但并未获得实现战略要求的在保持规模和效益的前提下应对未来挑战的灵活性和快速反应能力；虽然商业银行都建立了独立的信息科技部门，但这些部门只是作为本行的技术孤岛而存在，仅仅从事管理工作，并未发挥其经营、管理和发展过程中的参谋功能；商业银行信息化建设的应用多偏重于柜面、核算业务的处理，难以满足个性化增值业务的需要；各商业银行的信息化建设标准不统一，阻碍了信息化的进一步发展，特别是各商业银行都已经建立了自己的体系，由于机型、系统平台以及数据标准的不统一，使得各银行之间的信息化水平差距较大，对系统的整合比较困难。 　　因此，我们需要准确解析国内银行信息系统现状及存在的问题，并根据国际经验与我国实际情况进行差异性分析，借鉴国际上相对成熟完善的IT治理标准/最佳实践，并最终找到我国银行业IT控制实践的有效指导方法，进一步构建符合我国商业银行现实需要的IT控制目标体系，指导商业银行IT治理实践活动。 　　二、我国商业银行信息系统基本特征 　　随着我国经济的飞速发展以及世界经济一体化进程的加快，商业银行也在不断完善信息管理系统，实现信息系统的电子化、网络化，使商业银行的信息系统具有了新的特点。 　　（一）账户的核算与管辖分离 　　营业网点虚拟化，将账户的核算与管辖分开，会计核算由总行统一处理，各行处负责具体业务的经办，使业务处理打破了分支机构界限。目前，商业银行主要业务包括存款、贷款、信用卡、中间业务、国际业务、结算、代收代付、ATM、POS、网上银行等。商业银行信息系统为银行业务提供一个支撑平台，其信息系统构架为三个层次，第一层核心业务系统，主要提供账务记录、主要业务支撑和业务报表；第二层中间业务平台，是核心数据与外部接口的交换平台，提供数据接口的转换功能；第三层外围系统，提供外部数据的接口。面向业务设计银行业务处理，所有功能都由交易来驱动，记账部分位于业务的底层，业务层通过调用统一的记账核心来完成账务处理。 　　（二）信息系统风险管理要求提升 　　商业银行信息系统风险体现出明显的行业特征，网络和安全技术的飞速发展，使得商业银行已成为商品交易的电子平台和电子金库。因此商业银行对数据完整性要求极高，对业务和数据的可用性、安全性、以及对业务中断和数据丢失等事故的防范和处理要求十分严格。近年来，随着网银、中间业务等银行新型业务和金融产品的出现，对开放信息系统的要求越来越高，银行的信息系统均开始不同程度向外界开放。由于各商业银行实行数据大集中，导致单笔交易所跨越的网络环节越来越多，银行信息系统对网络依赖程度越来越高。统计结果表明，在商业银行信息安全事故中，只有20%-30%是由于黑客入侵或其他外部原因造成的，而70%-80%是由于内部员工的疏忽或有意泄密造成的。 　　（三）IT控制机制尚处于初步探索研究阶段 　　IT控制在国际社会已得到普遍重视，控制的重点也从操作系统，网络环境发展到整个管理体系。西方国家在实践中不断发现，IT控制实践活动作为保证信息安全的重要基石发挥着关键作用。在信息安全、IT治理的相关标准/最佳实践中，ITIL、COBIT等得到广泛推广和运用。我国的IT控制实践目前还处于起步阶段，尚未形成一整套体系化的专业规范，缺少能够全面开展IT控制理论研究和实践推广的人才队伍。随着商业银行经营管理活动对信息技术依存程度的不断提高，IT控制已成为商业银行总体治理目标的一项重要内容，并需要从战略的角度将IT控制与实现公司治理的总体目标紧密联系在一起。 　　三、我国商业银行IT控制缺陷分析 　　由于IT治理的不健全，商业银行面临着监管风险、决策风险、项目管理风险，以及IT规划与架构风险。结合IT控制总体目标和核心域的划分，我们可以看出，我国商业银行IT控制尚存在以下几方面主要缺陷。 　　（一）IT风险监管不力 　　商业银行对信息技术的依赖程度不断提高，这使得信息系统自