第一章 绪论
1.1 本文的研究背景
从上世纪 70 年代开始到 90 年代末期,银行的对私、对公业务逐渐走入信息化时代。
银行开始大规模的引入计算机系统来替代手工操作带来的各种弊端,开始在国有银行的范围内率先建立起一批网络系统实现计算机联网的功能。通过数据中心处理业务数据,客户切身感受到这带来的方便和快捷。直到 21 世纪的到来,银行业已经将联网数据的处理规模和能力从网络基础设施转到业务系统再到报表等实用管理信息系统的集中处理,利用互联网的技术与环境的不断创新,根据市场环境和国外的先进理念快速推进包括网上银行、网上支付等网上金融服务。金融一体化和金融创新的时代下,商业银行为使业务管理精细化,竞争差异化,战略部署也发生了重大变化,更注重科技的核心竞争力培养。
在现代 IT 技术迅猛发展推动下,商业银行已将信息化作为企业重要发展战略和推动力之一。纵观当前国际金融形势,大范围的科技化开始逐渐暴露出风险管理的缺失日益严重。换句话说,飞速发展的金融业不仅受到资本约束、流动性管理、去杠杆化等方面的挑战,而科技领域的风险管理和风险监管也成为所要面临的新挑战,因此如何应对信息系统风险成为有效提升经营管理水平和抵御风险的重要手段。
***总书记在中央网络安全和信息化领导小组第一次会议提出的“没有网络安全就没有国家安全,没有信息化就没有现代化”、“建设网络强国的战略部署要与‘两个一百年’奋斗目标同步推进”等重要论断,深刻阐释了党中央关于加强网络安全和信息化工作的指导思想和方针路线。
金融行业的创新就是信息化、监管信息化与信息化监管不断完善的一个动态过程。金融信息化的初衷是利用信息技术大幅提高金融业务的处理效率,为金融机构提供了新的业务机会;其随后的发展过程和市场反响预期逐渐表现出更多的信息技术所带来的新的金融风险,研究金融信息化风险内在机理和对策对于金融业的进一步创新、发展具有重要意义。
商业银行信息化是金融系统信息化的重要分支,我们不得不承认信息化为我们带来便利的同时,同样面临着无法避免的各种风险安全事件的突发和威胁。因此商业银行的信息化运行是风险管理的一把双刃剑,信息化的运行本身就是对风险管理的巨大挑战。对于商业银行来说,经营目标的主旨是经营各样的风险,这些风险是与银行存在共同衍生出来的产物。从经济学的角度看,风险分为系统性风险和非系统性风险,系统风险又称整体性风险,是由基本经济因素的不确定性引起的,一般来讲无法或很难通过多样化的预防和投资组合来加以规避;非系统风险也称个别性风险,指由于经营状况等一些不利因素而导致的可以防范化解的风险。如果把本文提到的风险管理作比拟,信息系统运行过程中的风险管理便可归类为“非系统风险”,它是完全可以通过改善风险管理指标和健全日常操作规范以及安全体系加以防范和预警。
自吉林银行正式成立以来,不断加大对信息科技的投入,信息化建设高速发展,为全行的业务发展和金融创新提供强有力的支撑。2010 年 5 月,吉林银行更换核心系统项目全面启动(包括前期需求洽谈和软件开发前期测试),配套新建和改造 55 个外围平台,于 2012 年 11 月 19 日至今,吉林银行新一代核心系统成功上线运行。是吉林银行成立以来规模最大、复杂程度最高的信息科技改造建设工程。而此次系统的改造为信息科技系统运行过程中的风险管理提供了新思路、新挑战和新契机,同时引发了对信息系统运行过程中的风险管理的思考和研究。
1.2 本文研究内容和意义
随着信息科技在商业银行的广泛运用和迅猛发展,信息化运行过程中风险管理问题日益凸显。信息科技风险,主要包括在运用信息科技化的过程中,由于自然因素、技术漏洞、管理缺陷和创新要求在监管范围内外所产生的合规、法律和声誉等风险。
与传统的商业银行风险监管相比,信息化运行过程中风险管理是一个新课题。信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息科技使用水平,增强核心竞争力和可持续发展能力。我国的信息化建设有别于西方,起步较晚,金融产品创新较慢,监管漏洞等各项措施制定不完善,总体来讲还是处于一个“人治时代”.
对于商业银行来说,普遍存在信息化运行的内部相关制度不健全,整体规划欠缺,责任履行架构不完善,信息化风险管理无法跟上创新后的金融产品等问题。商业银行在信息化运行过程中的风险管理所涉及到的法规、实现、执行、监督的流程性操作缺少权威明确的制度性规范,缺乏部门之间以及流程之间的有效协调,沟通机制,造成对信息化风险管理漏洞和 IT 操作风险的微观表现。
因着信息化的快速发展,信息科技的作用已从业务支持逐步走向与业务融合的阶段;信息科技管理的压力也越来越大,由于计算机本身(包括硬件、软件等)和涉及计算机安全管理的制度缺乏有效的科学性、规范性和完善性,潜伏着许多不安全风险因素。然而,对于信息化运行过程中风险管理还处于不成熟的阶段,如何最大限度地防范信息科技风险,充分享受信息科技带来的便捷和效率,已成为当前我们必须认真研究的一个重要课题。通过以吉林银行信息科技建设的案例为依托,阐述国内外信息化发展及风险管理现状,针对吉林银行现有信息系统运行现状和信息化运行过程中存在的风险管理问题加以分析,并对信息化运行过程中风险识别,估计和评价进行全面指正,从而提出规避措施,监控并组织实施防范和化解信息化运行过程中的风险。本文在对吉林银行信息系统建设和运行全过程分析的基础上,对吉林银行信息系统日常运行过程中存在的风险进行了全面的分析、评估,并针对风险事件提出相应的应对措施,进而从组织、流程制度上和具体措施上对如何有效监控和防范信息系统运行过程中的风险给出具体的方案。
本文的研究是建立在吉林银行的实际案例上,在国内外相关文献研究基础上为吉林银行信息系统运行的风险管理提供建议和对策。通过本研究不仅为吉林银行监控和防范信息系统运行过程中的风险,进行有效的风险管理提供了具有实践价值的具体方案,同时,也为研究信息时代的商业银行如何对其信息系统进行有效地风险管理提供了研究素材和参考。
1.3 吉林银行信息系统运行过程中的风险管理现状
吉林银行信息系统选择Sybase 旗下数据管理产品ASE、由EAServe与PowerBuilder共同组成的解决方案,分别作为大集中模式下的核心系统数据库与报表系统的运行平台。Sybase 旗舰数据库管理产品,Sybase ASE 具有高效性能及降低成本、减少运营风险、充分应用新技术并未雨绸缪等特点。它可以将银行各分支机构的所有数据以及个人银行业务、企业结算业务、贷款业务、票据业务、各类银行中间业务等各种业务的数据全部存放在数据库服务器中,在点到点和集成的整体环境中,全面处理来自客户的信息,充分有效地保护客户的数据。我行信息系统主要由图 1.1-1.2 组成:
我行对信息科技系统的风险管理在近年开始加大资金投入,自 2010 年开始信息科技部根据监管要求重新梳理制度建设,人员配置,技术革新等方面。但总的来说,由于我行是发展中银行,对科技投入起步较晚,底子较弱,仍然处于探索阶段并存在很多问题。从 2012 年底新核心系统上线运行以来由于科技系统不完善主要暴露出以下几方面问题: