1.3.1 信息系统风险管理重视不足
我行信息系统上线运行以来表现出的诸多问题其根本在于对信息系统风险管理的重视不到位,导致行内法规指引不健全,标准不统一,层级之间传达流程时不畅通。第一,任何信息系统运行过程中的缺陷都不可能完全通过测试方式展现出来,很多漏洞和缺陷只有在运行过程中不断发现改进,但我行目前针对此问题并没有做到有效的风险管理,反而增加了信息系统运行的风险。其表现为当系统运行过程中出现报错、通讯失败以及业务中断等原因无法继续时,上报给运维人员后的反馈不及时,流程不畅通。对出现问题的业务操作不能及时处理不仅导致操作风险的提高还对客户造成一定的损失从而引起信誉风险。第二,IT 人员在每次改进问题时对信息系统程序版本的管理混乱,时而发生由于版本管理不善致使信息系统运行时出现中断停用等问题。对信息系统的程序版本的管理是运行维护的重要环节,需要一定的管理流程来加以控制。这其中包括对进入机房的人员身份认证、权限管理以及操作角色的合法性等进行管理。第三,自动化管理程度低,尽管我行已经运用信息系统业务交流平台实现电子式沟通交流,但仅限于业务交流范围,解决问题还依靠人工重现故障来测试,目前对系统的测试还属于人工测试为主,尽管投入人力物力却收效甚微。另一方面,对系统出现问题后依然采用纸质传递方式维护,中间环节多,涉及部门多,时间耗费较长,造成信息系统运行过程中发生风险不能及时修复,而风险发生后有些损失又不可逆。
1.3.2 信息系统风险防范和应急措施缺乏
我行目前几乎没有对信息系统风险管理预防和应急的具体措施。本行的信息系统风险管理指引也仅仅是作为一种单一的管理制度而被忽略其真实的实践,缺乏针对性和可操作性,只流于形式,没有定期进行应急演练,导致曾出现过因为系统中断而影响营业的事件发生。另外,尽管我行逐步建立了北京等地的异地数据灾备中心,但仅仅停留在总行级别上,并非所有数据和系统都存在备份,数据库里仅仅备份了一部分的重要且有用的关于资金的账务信息,而对于客户资料、维护变更、历史数据、报表等方面缺少相应的备份。
目前,我行没有将现代化通讯技术充分运用到信息系统风险管理预防措施中来,甚至人工监测也并没有落实。当信息系统在运行过程中需要进行维护时,由于采用纸质申请单难免产生延时拖沓以及因为保管不善出现的丢失等问题,问题处理过后没有专门人员对所有上报的问题进行归纳整理总结经验形成数据预警和防范。导致的结果是很多出现过的问题可能始终没有得到根本上的解决并重复出现,对信息系统运行过程中的风险管理极为不利。
1.3.3 复合型 IT 人才培养和队伍建设滞后
复合型 IT 人才培养是行内信息系统风险管理的核心要素,拥有自己的技术团队和技术力量能够从根本上保证信息系统免受操作风险干扰,对管理信息系统风险起到决定作用。我行目前缺少对银行业务和信息技术都有一定认识层面的复合型 IT 人才。我国的大部分银行在践行信息化的过程中都揭示出,许多信息系统风险问题原因并不在于外部侵入,而是银行内部缺乏实施与执行的力度的人才。大体上说,很多高层管理人员出生于手工操作时代,对信息系统等现代工具缺乏相应的专业技能和判断,IT 专业人员虽然能够按照需求编写代码建立系统但对业务和人行监管不了解容易在程序上出现漏洞,缺少控制容易造成业务人员的操作风险。
人才队伍建设理念落后,致使人才培养机制不合理。技术人才、业务人才和管理人才独立分开配置,专人专项培养,没有进行岗位交叉学习培训,阻碍复合型人才的形成。
此外,人才培养没有深入基层考察和深入了解,上层管理部门缺少与基层人员的沟通和互相学习实践,致使一部分需求改造后和现实遇到的情况有出入考虑不完善。
1.3.4 外包管理体系不完善
很多商业银行对信息系统建设的惯例做法是 IT 项目外包制,银行 IT 项目外包可以帮助银行专注于自身业务的发展,降低银行的运营成本,但从实践来看外包的同时带来的一系列不稳定因素和风险也让我行的信息系统管理面临巨大挑战。首先,IT 服务商对银行的整体业务运作并不熟悉,在执行 IT 项目服务外包时,会与合同内容出现不一致的情况,并且合同不能规范到非常具体的细节,很多需求的提出都是在业务人员的测试和实践中不断修改完善的,因此 IT 外包商常常用不符合合同和需求内容而拒绝修改。
其次,长期将信息系统承包给 IT 外包商造成对 IT 外包商高度依赖,失去信息系统核心技术的掌控能力,容易被 IT 外包商操纵掣肘。再次,我行和 IT 服务商的办公地点不同,解决问题时效性差,很难对其管理和制约,难以实施检查致使银行虽然在合同中处于甲方的地位但实际上却变得很被动,并不利于银行 IT 服务水平的提高。
1.3.5 违规操作带来的风险隐患
建立一个完善的信息系统能够有效的防范由人员有意或者无意的违规操作引起的风险。所谓完善的信息系统既要能够符合各监管部门对业务的监管要求,又要能够将人员操作的失误或故意违规操作几率降到最低从而达到风险管理的目的。我行于 2013 年初发生的一起内部人员携巨款私逃的渎职案件,先后多次分笔转移库存现金四百多万元,对银行造成巨额损失。笔者认为,此案例中虽然属于内部人员监守自盗的操作风险,但同时也为我带来一份思考:如果我们的信息系统对现金库这类业务设置合理的操作步骤是否能防范类似的案件发生。答案是显而易见的,信息系统为我们带来便捷记账的同时,更要承担防控人为恶意或无意违规操作的使命。因此,提升信息科技系统和业务结合度是信息系统运行过程中风险管理的又一重要课题。
1.4 研究方法和总体框架
1.4.1 研究方法
本文涉及到风险管理、IT 治理以及银行业务等相关知识领域,拟采取的方法主要包括定性分析,现状实证分析,案例分析,对比分析等等。文章采用的研究方法主要为:
文献研究。通过阅读大量相关优秀学术论文,期刊论文,书籍以及行业标准规范,访问相关网站相关内容,深入了解从业者本身所处单位的管理体系和制度,针对本行信息化运行中的风险管理进行系统了解和全面认识。论文还针对理论文献进行分析,针对不同的标准,方法论进行描述和比较,分析我国商业银行信息安全操作风险现状、问题以及成因。
案例研究:从从业者所在的商业银行信息化运行过程中风险管理的案例出发,通过分析国内外商业银行信息化风险管理的基本情况和信息安全风险管理的现状,结合国内外风险管理体系的架构方法,研究其所在银行的体系架构,分析存在问题,归纳和总结出解决方案。大大提高了研究的可信度和可行性。
1.4.2 总体框架
