3.2.3 自然风险
自然风险管理可以看作是我行在信息系统发生灾难性风险时所作出的应急性准备。在信息化时代的背景下,数据的安全性尤为重要,除了日常的运营维护外,系统需要建立即便发生不可抗力等情况时相应的应急准备,因此,涉及到备份数据问题。我行目前在北京已经建立灾备中心,但因为总行是数据中心,并非所有的数据和系统都存在备份,只有涉及到核心重要的业务系统和数据存在备份。其次,应急预案缺少定期的演练,对演练结果往往达不到预期效果。
3.2.4 创新风险
我国银行业的产品随着市场深化而逐步创新,越来越多的电子创新产品使得对信息系统的依赖程度愈深。同时我行目前的产品研发和对风险控制的设计过程中忽略服务功能的易操作性和人性化需求,因为急于推出创新产品迎合市场趋势难免对产品的细节和功能体验有所忽略。例如,我行的网上银行系统缺少对各种品牌电脑的兼容性考虑,当客户使用苹果电脑安装网上银行插件时就会发生不兼容的现象。其次,银行利用信息系统创新设计的业务与监管规定结合度不高,由于电子业务缺乏实体操作接触,失去事件和地域的限制,因此客户质量难以确定,交易过程不透明,而网络的可侵入性导致电子业务的不安全性。由此产生的交易纠纷,行内并没有明确的法律规定,即便在风险揭示时有明确的提醒,但并不能满足客户因此要求赔偿损失的要求,让客户产生不公平的感觉。因此,信息系统安全性越高,越能得到客户的信任和忠诚度,因此更具有竞争力。信息系统一旦发生中断、崩溃、漏洞和入侵等现象对客户造成直接或间接的经济损失就会无形中降低客户的信任度,创新的产品也失去了竞争力。
3.2.5 声誉风险
银行交易系统效率低下,系统功能缺陷,信息披露不畅或侵犯客户隐私权等产生的新声誉风险正在逐步威胁我行的信息系统风险管理。(1)从内部看来,信息系统的不稳定性影响行内人员的日常操作,久而久之使银行内部人员对自身应用的系统环境有不信任感,最直接导致的结果就是对数据准确性和可靠性持怀疑态度。其次,如果信息系统长时间经常性出现不稳定的情况,操作人员容易形成惯性思维觉得任何数据的错误都是由于系统原因造成的,无法及时发现自身操作错误所带来的风险隐患。再次,银行所要接受各类的审计检查和向相关监管机构的报送都是基于信息系统所提供的数据为依据,一旦错误的信息被提供导致的不仅是数据不准确还对银行本身的可信赖度和形象造成无形损失。
(2)从外部来看,信息系统运行不仅是内部人员的操作更是面向的最广大存款人提供服务的必要工具。银行作为一家负债经营的机构要对债权人也就是存款人负有一定必要的责任和义务。信息系统的不稳定损害的直接群体就是存款人,同时存款人的信任是银行不被挤兑信誉经营的法宝。声誉风险发生在银行信息系统受到威胁时对存款人造成的利益和精神损害所产生的不良后果。声誉风险是无形的,如客户流失、客户纠纷、挤兑等都是声誉风险发生的征兆。
3.3 信息系统运行过程中风险的估计
信息科技部应制定《风险评估控制程序》,建立适用于信息安全管理体系和已经识别的业务信息安全、法律和法规要求的风险评估方法,建立接受风险的准则并确定风险的可接受等级。所选择的风险评估方法应确保风险评估能产生可比较的和可重复的结果。但我行目前缺少对信息系统运行过程中所发生风险的数据积累和工具,缺少定量的数据支持因此难以为风险估计提供参考意见和估计基础。因此在对我行曾发生的不利事件所导致损失的历史资料分析的基础上,对我行的信息系统风险估计主要包括对研发,运行维护,外包,不可抗力(灾备中心)、测试支持(批量测试和压力测试)等环节对风险进行全面预测和估算。[44]
