信息化 频道

银监会陈文雄详解信息科技风险管理要点

  【IT168 信息化】

  风险管理一直是CIO做信息化最关心的话题之一,无论是任何大企业,还是小企业,对于安全的关注往往是第一位的,尤其是以服务化为主的企业如银行、保险等金融类企业对于信息安全已经成为信息化的头等重要的事情。我们知道,风险管理是指如何在一个肯定有风险的环境里把风险减至最低的管理过程。当中包括了对风险的量度、评估和应变策略。理想的风险管理,是一连串排好优先次序的过程,使当中的可以引致最大损失及最可能发生的事情优先处理、而相对风险较低的事情则押后处理。 但现实情况里,这优化的过程往往很难决定,因为风险和发生的可能性通常并不一致,所以要权衡两者的比重,以便作出最合适的决定。

  对于银业的的风险管理历来非常重要,在经历了危机以后,银业的企业不仅仅加强了日常管理,同时,还加强了对于外部的风险管理。我们知道,风险管理离不开信息技术的支持,那么,在后危机时代,金融业如何来做好风险管理以及信息科技的风险管理呢?现阶段的信息科技风险管理部署又有哪些要点?记者从“风险防控与信息安全”金融高峰论坛了解到,中国银行业监督管理委员会信息中心处长陈文雄对于信息科技风险进行详细了分析讲解,诠释了信息科技状以及防范要点。

银监会陈文雄详解信息科技风险管理要点

  中国银行业监督管理委员会信息中心处长 陈文雄

  信息科技的现状

  据陈文雄介绍,银监会现在对信息科技风险监管逐步在开展之中,信息科技现状分为以下几个方面:

  第一、我国银行业从电子化到信息化经历了二三十年的发展,但是银行业的水平现在差别很大。

  第二、信息化又面临着很多的挑战,比如银行业的水平发展时间久,但是很不均匀,大型的企业,大型的银行已经在全世界找不着可以相比拟的如此之大的企业,我们引领世界。像四大行用户数达到几个亿,日均处理量都达到几千万、上亿,这已经找不着相比拟的了。

  第三、信息化到了一定程度,还存在几方面问题

  1、信息科技的治理不到位,治理文化的形成需要一个过程,我们在整体治理方面,开展了公司治理,但是信息科技的治理才刚刚起步,一些银行虽然有了架子,但是架构是否完善,是否到位还有很长的路要走。
  2、信息价值体现不充分,从信息资产方面来讲,信息资产跟财务资产相比没有标准,没有计量的单位,这样本身对信息化风险的管理就产生了影响。

  3、在巴塞尔新协议里只是把信息科技风险定义为操作风险的一部分,但是信息科技风险比其他风险大许多。

  信息科技风险的误区及面临的挑战

  银行信息科技存在这样的现状,有没有防范的措施?陈文雄指出, 对于信息科技风险管理现在还有很多误区主要有以下几个方面:

  第一、认为信息技术是功能较多的。信息技术发展到现在确实有很大的进步,好象什么都可以做,也可以有很多的机器人,实现很多的人工智能,通过我们现在软件、硬件的发展,可以花很少的资金买运算能力很强的计算机,有很强的储存功能,可以使计算机记忆无限,随着网络不断的普遍,我们计算机系统的覆盖面越来越广,无所不在。我们所有的信息系统实现的功能都是我们的需求打了很大折扣的实现。这里面就是不具备很高的智能,所有智能都是我们需求时设定的、想到的,想不到的它不可能在做。

  第二、信息科技风险跟其他的业务风险存在很多的不同,但是很多机构都会把它用同样的方式来做防范,这样的防范对风险本身的特性不了解、不清晰,这种防范反而是有害无益的。比如说在历史上来讲,我们很多的业务风险防控开始要有,银行从成立之初就有,但现在依然在做。信息科技也就这二十年的时间,但是信息科技风险对银行已经产生了巨大的影响。

  第三、从领域上讲,业务风险的领域,不管从哪方面,包括公司治理,主要是在金融、经济领域,但是IT涵盖了很多,有强点弱点,有硬件软件,里面很多都是相互独立的。

  第四、从领导层的认知来讲,对业务风险,对银行业的影响很清晰,很熟悉,但IT风险对银行的影响知晓度不高,参与度不够。

  第五、机构的差异,在业务方面,不管机构的大与小,存款、贷款、理财业务、流程、规范都是相对统一的,但是在实现这些业务后台的IT系统,在不同的机构里面差异性很大。同一个机构也是如此,今天做的业务实现的系统在明天可能就升级换代了,银行的标准化的问题在IT方面很难做到规范。

  第六、是业务的变化在不断发展,但是实现业务发展的这些技术是日新月异,变化非常快,更新换代比业务的发展强很多,实现业务系统的变化三年一小变五年一大变,所以,信息科技风险的变化就随着整体的不同,要有清醒的认识。

  第七、对于风险的计量来讲,业务风险的计量比较容易计量,产生了业务风险,存在了多少资金的损失,有多少坏账、呆帐,我们对它的管理产生了多少效益都可以计量出来,但是IT风险恰恰不是如此,对IT风险的计量往往很虚,没有出问题我们很难说它造成了多大风险,出问题以后才会发现,IT对将会产生致命的损失。

  第八、从风险的变化角度来看,业务风险变化有,但是发展很慢,IT风险,随着网络的普及,业务对系统的依赖速度非常快,出现问题瞬间把全域影响到。从风险来讲,主观因素的影响,在IT里面,更多是客观因素直接产生作用。

  第九、从设计面来讲,业务风险的设计面有限但是IT恰恰相反,所有网络的参与者系统的参与者都是一员,对风险的控制都需要全员的参与。

  第九、业务风险在交流方面是不乐于交流的,一交流会把核心的竞争力透露出去,所以大家互相之间藏着躲着,但是IT风险因为各个企业、各个行大家实现的手段不一样,它的交流就会有益于系统的强大、风险的防范,不会产生核心利益的冲突,所以大家都乐于交流。

  银行业也面临着许多挑战,主要以下几方面:

  第一、机构差异性大,很难用标准去衡量。

  第二、面临着很多国际的合作,如何解决安全问题。

  第三、公众意识单薄。目前银行做了很多工作,但是很多工作做出后让客户在不安全的环境里化为乌有,公众安全的意识对我们影响很大,这方面也需要更多的关注。

  第四、信息安全的测评不到位,现在的测评从国内产品和国外产品,都存在隐患、测评、缺陷等,所以很多未知因素使风险防范也存在很多的不足。

  第五、网络的脆弱性和依赖使安全面临着很多困难,尤其是现在出现各种事件,现在很多防范措施已经很乏力需要更多的关注,也需要安全厂商更多的努力。

  第六、新资本协议的实施对系统会产生一种影响,明年新资本协议的新要求对系统提出了很多的变化,这变化里面就有很多的不稳定因素,需要防范。

  第七、业务的同质化。业务同质化使风险进一步扩大。

  第八、信息技术的定位出现了问题,现在信息技术作为支持与服务,其实IT大应该是银行支撑的部分,作为支持的服务。另外,在信息化本身我们都关注了业务信息化,对决策信息化关注不够,参与不够,IT话语权受到影响。

  第九、内控目标不合理,很多银行业金融机构内控目标作为合规为主,在这层面很难做到对风险的更多防范。

  第十、IT作用的发挥还需进一步加强,信息科技风险的管理有一个特色,是一把手工程,一把手的参与,一把手的认知对信息科技风险的防范,信息科技的管理是一个很关键的一环。那么信息科技风险的管理也是靠事件推动,很多机构出了事情以后才觉得应该加强。

  第十一、现在信息科技管理很多管理措施都是靠人工措施,用系统化自动化的防范做的还不够。同时,信息科技的评价标准现在出现了很大的问题,在各个机构,各个层面,在关键的时刻都会要求IT部门做到万无一失,这个万无一失不光是100分标准,应该是120分标准,但是当成60分,这就造成了重建设轻管理,管理的时候只会拿到60分。

  对信息科技风险的定位要点:

  第一、由于业务快速发展,需求在不断往前推进,信息科技就需要立等可取,这里面无形中埋下很多不稳定因素。

  第二、信息科技一直是支持服务与系统后台一样,在话语权方面差了很多,即便有个别银行在科技部门给了很高的待遇,但是话语权依然与其他部门还差了许多。

  第三、对业务的高度融合现在很多业务的问题出了以后都往IT推卸责任,IT是没有再往外推的机会。
  防范信息科技风险的要点分析

  防范信息科技风险,陈文雄认为首先是定位,把信息技术定位为支持服务本身就是一个对风险防控的很大欠缺,把信息技术发挥出来很关键,讲风险防控我想用IT去防控,用技术手段去防控,比人工防控要强得多,这也是体现IT管理价值所在。另外,IT风险防控整个还处于初级阶段,最关键的是IT治理层面,怎么能关注。很多时候,很多机构,很多的银行都会把制度的制定放在很重要的环节,但是制度制定出很多落不到实处,怎么把制度融入到每个环节这很关键。另外,银行业金融机构在中华文化的背景下有很多特有的因素需要考虑,比如人际关系,在西方环境下人际关系很简单,很简单的人与人的关系,很简单的人与机构的关系,很简单的机构与机构的关系,到了东方异常复杂。

  第二、要讲忧患意识,IT事件频频发生,对银行冲击很大,911事件出现后对全球的数据保护,灾难备份起了关键作用。

  各个银行业金融机构、IT部门所管的很多事情不是通过管控来避免的,比如电力、通讯、软件、硬件,包括人员的问题,是都有可能发生的。停电所有业务都中断。一个银行停电,UPS还可以工作,就让来修,结果没有修好所有电都没有了,通过自身再好的能力都不可避免,怎么办?需要对外来的因素有更多的预案来应对。

  第三、对风险的价值需要有清醒的认识,所有风险就是与价值关联,讲风险就是讲它的影响面、影响的价值。IT风险首先要认清它的价值,现在评估的方式、评估的模型、还有评估的认知有很大的缺陷,这对风险的防控就有很大的影响,所以需要对IT风险本身的价值要有很好的计量,才能谈得上控制。价值的认知对风险的防控是至关重要的,所以要更多的关注。对IT价值的认识需要我们本身来转变,把IT发展好需要更多的IT部门有更多的作为。一是贴近领导,在决策层面增加话语权;第二是贴近业务,引领业务发展;第三、贴近最终用户得到大规模的认同。

  第四、在安全方面需要一个清醒的目标、一个合理的容忍。这个容忍就是需要有各个部门的折衷,这样才能把控制做好,安全做好。比如灾备。系统级灾备在同城异地来讲,一是高效率小概率事件,异地系统级灾备是低效率极小概率事件,我们现在热衷把异地灾备做起来,同城没有建起来,这样应对灾难时很乏力。

  信息科技风险防范需要全员参与,信息科技风险大家都会把信息科技部门关联起来,其实安全和木桶原理是一样的,所有网络参与者、系统使用者都需要贡献,如果在上面做的不到位,一个U盘就可以使网络崩溃,使系统崩溃。

  对业务需求方面,也需要有共同的认识,全员参与,业务需求的不准确,不确定也会对系统产生致命的影响,统计分析60%风险与业务有关。在应急和业务持续方面更需要共同参与。如果没有共同参与,只是IT部门在做,现在很多IT部门都热衷于把系统的连续性作为业务连续性来管理,这不够的,需要业务部门的真正参与,真正在业务的持续方面做出贡献。

0
相关文章