金融創(chuàng)新步伐加快，信息技術(shù)迅猛發(fā)展，銀行業(yè)金融機構(gòu)的信息科技風(fēng)險逐步增大，銀行業(yè)以及監(jiān)管當(dāng)局日益重視信息科技風(fēng)險的管理和監(jiān)管。巴塞爾新資本協(xié)議明確地將操作風(fēng)險納入資本監(jiān)管的范疇，而信息科技風(fēng)險是操作風(fēng)險的重要組成部分。為加強我國商業(yè)銀行信息科技風(fēng)險管理，中國銀監(jiān)會2009年正式發(fā)布了《商業(yè)銀行信息科技風(fēng)險管理指引》，適用于境內(nèi)依法設(shè)立的法人商業(yè)銀行，其他銀行業(yè)金融機構(gòu)參照執(zhí)行。
　　盡管近年來城商行資產(chǎn)規(guī)?？焖贁U張，跨區(qū)域經(jīng)營，獲得了突飛猛進的發(fā)展，風(fēng)險管理理念和信息技術(shù)水平得到了有力提升，資產(chǎn)質(zhì)量得到了有效改善。但由于脫胎于城市信用社，受制于總體規(guī)模較小，地域性強，創(chuàng)新不足，信息技術(shù)落后等因素，整體上風(fēng)險管理水平和能力相對于大型銀行和全國股份制銀行依然偏弱。尤其是對于信息科技風(fēng)險管理的重視程度有待進一步提高，信息科技風(fēng)險管理的方式方法有待進一步改進，信息科技風(fēng)險管理的體制機制有待進一步完善。
　　
　　城商行信息科技風(fēng)險特點和表現(xiàn)形式
　　
　　城商行發(fā)展歷程不長，正處于快速擴張階段，而且受制于規(guī)模和財務(wù)能力限制，其信息科技建設(shè)往往跟不上業(yè)務(wù)的快速發(fā)展。其信息科技風(fēng)險特點和表現(xiàn)形式往往不同于國際活躍銀行和國內(nèi)大中型商業(yè)銀行。
　　
　　信息基礎(chǔ)設(shè)施建設(shè)嚴(yán)重滯后于業(yè)務(wù)快速增長。按照國際慣例，商業(yè)銀行核心業(yè)務(wù)系統(tǒng)主機容量使用率如果超過60％的話，就需要擴大系統(tǒng)容量，而國內(nèi)很多城市商業(yè)銀行都超過這個指標(biāo)。更為明顯的是，某城市商業(yè)銀行2008年發(fā)生的柜臺交易緩慢，業(yè)務(wù)持續(xù)一個多小時無法正常進行，僅僅就因為主干網(wǎng)線的入戶接入設(shè)備發(fā)生故障。
　　
　　城商行大多沒有明晰的信息科技風(fēng)險管理架構(gòu)。首先，很少有城商行設(shè)置專門的信息科技風(fēng)險管理機構(gòu)。一般都是由科技信息部門負(fù)責(zé)信息科技風(fēng)險的管理和處置，既負(fù)責(zé)信息系統(tǒng)和項目的開發(fā)維護，同時也負(fù)責(zé)科技風(fēng)險管理，沒有對此進行獨立評價的部門和人員。信息科技風(fēng)險歸口科技信息部門，風(fēng)險管理部門介入很少。其次，由于財力和人力的限制，城商行一般都根據(jù)自身能力落實信息科技風(fēng)險管理，沒有設(shè)立獨立的信息科技風(fēng)險機構(gòu)和人員，沒有建立完善的信息科技風(fēng)險事故報告、監(jiān)測和應(yīng)急機制。
　　
　　城商行信息科技風(fēng)險專業(yè)人員缺乏，而且配備不足。首先，信息科技風(fēng)險是金融業(yè)務(wù)與信息技術(shù)結(jié)合的產(chǎn)物，專業(yè)人員需具備綜合能力，既要熟悉銀行基本業(yè)務(wù)，也要熟悉信息系統(tǒng)架構(gòu)和技術(shù)。城商行一方面專業(yè)人員缺乏，另一方面，各銀行之間對于高層次人才的爭奪也十分激烈。城商行在科技人才的競爭中處于不利地位。其次，城商行科技人員配備不足。國內(nèi)商業(yè)銀行科技人員配置比例一般是2％～2.5％，而大型銀行的人員配置比例更高。據(jù)報道，國內(nèi)某城商行如果按照2.5%的人員配置的話，應(yīng)該至少需要科技人員200人，而該城商行全轄只有45個專業(yè)科技人員，遠(yuǎn)遠(yuǎn)低于國內(nèi)銀行平均水平。這在業(yè)務(wù)快速發(fā)展的城商行界非常普遍，因為城商行還是不同程度地存在著重業(yè)務(wù)發(fā)展，輕風(fēng)險管理的現(xiàn)象。
　　
　　城商行信息科技服務(wù)外包管理有待完善和規(guī)范。由于受到規(guī)模和技術(shù)力量的限制，城商行的信息系統(tǒng)開發(fā)一般都是外包給技術(shù)廠商，特別是有些系統(tǒng)的維保等也是外包給廠商的。但是城商行平時應(yīng)用較多的應(yīng)用系統(tǒng)，如核心業(yè)務(wù)系統(tǒng)、信貸業(yè)務(wù)系統(tǒng)和網(wǎng)上銀行等，均需要在廠商成熟產(chǎn)品的基礎(chǔ)上，再進行個性化的開發(fā)或者優(yōu)化，專業(yè)化程度高，城商行自身科技人員難以滿足開發(fā)的要求，外包存在一定風(fēng)險，需要規(guī)范科技信息外包管理。此外，服務(wù)外包合同條款，外包商的服務(wù)水平評估，外包風(fēng)險的應(yīng)急措施及防范，以及外包管理的審核、管理機制等均有待完善。
　　
　　城商行信息科技風(fēng)險管理的經(jīng)驗介紹
　　
　　隨著國內(nèi)城商行的快速發(fā)展，信息科技風(fēng)險管理越來越得到城商行的高度重視。一些優(yōu)秀的國內(nèi)城商行在信息科技風(fēng)險管理方面也取得了驕人的成績，歸納以來，主要有以下四點。
　　
　　城商行的“兩會一層”等高級管理層要高度重視信息科技風(fēng)險管理工作。在信息技術(shù)高速發(fā)展的時代，銀行開展任何業(yè)務(wù)、風(fēng)險管控和管理創(chuàng)新都離不開信息科技，而信息科技的廣泛應(yīng)用，必然會帶來信息科技風(fēng)險。而信息科技風(fēng)險的產(chǎn)生不但會影響正常業(yè)務(wù)，產(chǎn)生直接損失，而且會產(chǎn)生聲譽風(fēng)險。重視信息科技風(fēng)險管理不光是思想上，或者是口頭上，更要落到實處，即是在人力、物力和財力上予以保證。
　　
　　順應(yīng)監(jiān)管要求。建立完善的信息科技風(fēng)險治理架構(gòu)。明確信息科技風(fēng)險管理的主責(zé)任人，
　　“兩會一層”以及首席信息官的相關(guān)職責(zé)，設(shè)立或指定一個特定部門負(fù)責(zé)信息科技風(fēng)險管理工作，直接向首席信息官報告工作，明確風(fēng)險管理部門、信息科技部門以及內(nèi)部審計等相關(guān)部門在信息科技風(fēng)險管理中承擔(dān)不同的角色和職責(zé)，構(gòu)建既相互協(xié)作，又獨立開展工作的信息科技風(fēng)險管理架構(gòu)。
　　
　　借助外在力量加強信息科技風(fēng)險管理。城商行由于缺乏專業(yè)人才，難以對自身信息科技風(fēng)險作出準(zhǔn)確、科學(xué)的識別，更難以做出根本性的改善。應(yīng)委托具備相應(yīng)資質(zhì)的外部審計機構(gòu)定期進行信息科技風(fēng)險外部審計，并及時根據(jù)外部審計機構(gòu)的建議，對相關(guān)風(fēng)險問題和風(fēng)險點進行整改。按照《商業(yè)銀行信息科技風(fēng)險管理指引》，外部審計也是信息科技風(fēng)險管理的事后控制，即第三道防線的重要組成部分。外部審計在城商行風(fēng)險事前防范和事后控制上發(fā)揮著重要作用，比如前期媒體披露發(fā)生“特大偽造金融票證”案的某城商行，在之前的外部審計中，就被審計機構(gòu)出具了存在騙貸風(fēng)險的保留意見。
　　系統(tǒng)項目建設(shè)和信息科技服務(wù)的外包，也是充分借助外在力量的體現(xiàn)。但是，銀監(jiān)會信息科技風(fēng)險管理指引明確要求，商業(yè)銀行不得將其信息科技管理責(zé)任外包，即應(yīng)合理審慎監(jiān)督外包職能履行，應(yīng)從外包方選擇、外包談判、協(xié)議簽訂、外包過程中的信息安全等方面提出明確要求。從城商行來講，就是要完善外包管理辦法，從外包服務(wù)職責(zé)、內(nèi)容、資料移交、年度考核、驗收、風(fēng)險管控等環(huán)節(jié)制定外包制度和辦法。此外，還應(yīng)探索服務(wù)外包方式，購買原廠商技術(shù)服務(wù)，引進廠商的專業(yè)服務(wù)和智慧，提升城商行系統(tǒng)運行的穩(wěn)定性。
　　
　　完善培訓(xùn)激勵機制，加強信息科技風(fēng)險管理隊伍建設(shè)。人才是城商行的短板，而信息科技風(fēng)險管理人員專業(yè)性強，屬于復(fù)合型人才。城商行首先應(yīng)引進專業(yè)人員，提升系統(tǒng)開發(fā)和維護的能力。其次應(yīng)適當(dāng)招聘后備人才，建立梯隊信息科技力量，加強培訓(xùn)，逐步使其熟悉銀行業(yè)務(wù)以及相應(yīng)信息系統(tǒng)架構(gòu)和技術(shù)，通過以老帶新、項目鍛煉等方式增強其技術(shù)水平和綜合能力，培養(yǎng)自身的信息科技人才。最后，應(yīng)努力完善激勵機制，建立專業(yè)技術(shù)人員職業(yè)發(fā)展通道，提高信息科技人員的工作認(rèn)同度和積極性。
　　
　　城商行信息科技風(fēng)險管理的對策建議
　　
　　城商行必須明確自身的市場定位，從自身業(yè)務(wù)特點出發(fā)，按照監(jiān)管要求，建設(shè)具有自身特色的信息科技風(fēng)險管理體系。
　　首先，城商行應(yīng)盡快樹立并強化信息科技安全風(fēng)險意識。必須意識到，銀行業(yè)對信息科技高度依賴，信息技術(shù)系統(tǒng)的安全性、可靠性和有效性直接關(guān)系到銀行業(yè)的安全和金融體系的穩(wěn)定。不僅各級領(lǐng)導(dǎo)，信息科技條線的員工，而且全行各條線員工都應(yīng)該樹立和強化信息科技風(fēng)險意識，防范信息科技風(fēng)險。
　　其次，城商行應(yīng)明確信息科技安全第一責(zé)任人的意識，董事會、監(jiān)事會和高級管理層必須對整個信息科技風(fēng)險負(fù)責(zé)，制定并指導(dǎo)全行執(zhí)行信息科技風(fēng)險管理政策，有責(zé)任建立覆蓋全系統(tǒng)，自上而下的，由信息科技部門、風(fēng)險管理部門、內(nèi)部審計部門等相關(guān)部門共同參與的信息科技風(fēng)險管理體系。
　　第三，城商行應(yīng)有科學(xué)合理的信息科技風(fēng)險管理戰(zhàn)略發(fā)展規(guī)劃。城商行應(yīng)找準(zhǔn)自身市場定位，結(jié)合業(yè)務(wù)特征，根據(jù)信息化發(fā)展趨勢，以及監(jiān)管部門的合規(guī)要求，制定科學(xué)合理的信息科技專項規(guī)劃，在總體規(guī)劃的基礎(chǔ)上，逐步開展信息化建設(shè)，避免重復(fù)建設(shè)和信息孤島產(chǎn)生，加強信息科技風(fēng)險管理的系統(tǒng)性和有序性。
　　第四，城商行應(yīng)強化各相關(guān)部門聯(lián)動協(xié)作，建立完善信息科技風(fēng)險管理的三道防線，共同做好信息科技風(fēng)險管理工作。三道防線是：由策略保障體系、組織保障體系和技術(shù)保障體系構(gòu)成的完備的信息科技風(fēng)險管理體制和基礎(chǔ)安全控制設(shè)施，形成信息科技風(fēng)險事前防范的第一道防線；由運營保障體系構(gòu)成事中控制的第二道防線；由應(yīng)用恢復(fù)保障系統(tǒng)與內(nèi)外部審計部門構(gòu)成事后控制的第三道防線。此外，還應(yīng)建立和完善信息科技風(fēng)險監(jiān)測、識別、報告、預(yù)警和處置的相關(guān)程序和制度。完善信息科技風(fēng)險應(yīng)急處置預(yù)案，并定期進行應(yīng)急處置演練。
　　第五，城商行應(yīng)制定和完善各類有效的信息科技管理制度，優(yōu)化信息科技風(fēng)險管理流程，提高制度約束的執(zhí)行力水平，不斷完善信息安全管理機制。尤其是要加強信息科技服務(wù)外包和項目系統(tǒng)建設(shè)外包的規(guī)范化管理，要突出防范由外包可能帶來的信息科技風(fēng)險。
　　第六，城商行應(yīng)加大對信息科技基礎(chǔ)設(shè)施的建設(shè)投入，保障業(yè)務(wù)快速發(fā)展的信息技術(shù)支持。在信息科技系統(tǒng)不能滿足業(yè)務(wù)發(fā)展需求時，應(yīng)適當(dāng)放慢業(yè)務(wù)擴張的進度，保障業(yè)務(wù)發(fā)展規(guī)模和風(fēng)險管控能力的協(xié)調(diào)一致。尤其是，城商行異地經(jīng)營，跨區(qū)發(fā)展的時候，更會對總行的信息科技系統(tǒng)支持、信息科技風(fēng)險管理水平和能力提出更高的要求。
　　第七，城商行應(yīng)加大信息科技風(fēng)險管理人才的引進培養(yǎng)，加強隊伍建設(shè)。城商行信息科技風(fēng)險管理水平的提高不僅要靠加大基礎(chǔ)設(shè)施投入，更應(yīng)該依靠信息科技風(fēng)險管理專業(yè)人員水平和綜合素質(zhì)的提高。只有在加強自身人才隊伍培養(yǎng)的基礎(chǔ)上，充分借鑒和借用外在力量，才能保障和提升城商行自身的信息科技風(fēng)險管理能力和水平，保障信息科技安全。
　　
　　責(zé)任編輯：王