喬悅懌

?

基于商業(yè)銀行操作風險下的信息安全研究

喬悅懌

摘要：銀行業(yè)的快速發(fā)展使得銀行面臨的風險越來越多，其中操作風險因貫穿整個銀行經(jīng)營管理活動的始終而備受重視。不僅如此，由操作風險引發(fā)的信息安全事件屢見不鮮，解決信息安全問題迫在眉睫。在對操作風險有一定了解的基礎(chǔ)上，分析操作風險管理下的信息安全現(xiàn)狀，明確管理過程中存在的問題。雖然國家和銀行采用了諸多方案來保護信息安全，但效果并不顯著。因此，必須以現(xiàn)有的信息安全管理措施為基礎(chǔ)，提出更為切實可行的信息安全保護方案，改善銀行管理環(huán)境，保證銀行經(jīng)營活動的安全穩(wěn)定運行。

關(guān)鍵詞：銀行；操作風險；信息安全

一、引言

近年來，商業(yè)銀行的操作風險事件和信息安全事件相繼暴露，引起了社會的高度重視。越來越多的學者對操作風險及信息安全展開研究，并提出相關(guān)解決方案，分析其原因，主要是由操作風險管理不善所致。操作風險主要是指由于銀行內(nèi)部的工作人員、軟件系統(tǒng)、內(nèi)部程序和外來因素所造成的失誤或錯誤，從而引發(fā)操作性的風險事故，以致銀行遭受損失。操作風險具有顯著的人為性特征、突發(fā)性和直接損失性。

二、商業(yè)銀行操作風險下的信息安全現(xiàn)狀

信息安全主要面臨操作風險，技術(shù)風險和決策風險。其中操作風險是最復雜，最難以控制的。我國商業(yè)銀行操作風險下的信息安全現(xiàn)狀表現(xiàn)為以下幾點：

第一，信息安全意識薄弱?，F(xiàn)階段，不僅普通公民對自身的信息保護意識差，銀行的從業(yè)人員對信息安全的認識也不高。因銀行過多強調(diào)對業(yè)務(wù)板塊的培訓，卻放松甚至忽略了對員工風險意識的培養(yǎng)，造成員工在后期工作中因不重視風險防范而產(chǎn)生錯誤，引起信息泄露。如：與友人聊天或在推銷理財產(chǎn)品時，無意泄露了客戶信息，或者以買賣信息來獲得經(jīng)濟利益，對信息安全造成威脅。

第二，缺乏維護銀行信息安全的復合型人才。從事理財?shù)穆殕T不懂技術(shù)知識，后臺維護的職員不了解金融知識，綜合性人才嚴重缺乏，在信息安全事件發(fā)生時，不能夠及時找出原因并迅速給出解決方案，增加了銀行的損失。

第三，系統(tǒng)設(shè)施不完善。由于“先入為主”的觀念，人們依然更傾向采用國外的產(chǎn)品，國內(nèi)軟件不受歡迎，我國銀行采用的諸多軟件都來自于其他國家，一旦該軟件存在缺陷或漏洞，我國不能在短時間內(nèi)識別。風險應(yīng)急機制不完善，也不能快速解決突如其來的風險。

第四，銀行信息安全的法律法規(guī)不完善，執(zhí)行力度不夠。銀行在經(jīng)營活動中，不僅受到內(nèi)部環(huán)境的影響，外部環(huán)境也對其有所限制。國家在強調(diào)完善信息安全法律法規(guī)的同時，卻忽略了對執(zhí)行過程的監(jiān)督，使得犯罪分子逃離國家的制裁，或者僅受到不相符的處罰。

銀行的信息安全關(guān)系重大，面對當前現(xiàn)狀，銀行管理人員采納了重多方案，但效果并不明顯，依然存在問題。要保證銀行的信息安全，就必須解決這些問題，并提出更好的解決方案。

三、新的解決措施

銀行信息安全保護措施必須與銀行實際情況相符，并得到具體的落實。針對銀行面臨的現(xiàn)狀，本文提出以下幾個解決措施：

首先，解決由人為因素引發(fā)的操作風險下的信息安全問題，主要采用以下幾個方法：

第一，開展信息安全專題的講座。信息安全不僅關(guān)乎銀行，還與客戶利益息息相關(guān)，然而，對信息安全知識有較多了解的客戶并不多。因此，銀行要開展相關(guān)的講座，給客戶講解信息安全的重要性，并號召客戶在辦理業(yè)務(wù)的時候主動確認業(yè)務(wù)信息的準確性，提高客戶信息安全意識，如：在柜臺辦理業(yè)務(wù)時，仔細核查職員給出的信息核對單，若發(fā)現(xiàn)錯誤，及時指出，將操作風險降至最低。銀行的信息安全需要客戶與銀行工作人員的共同協(xié)作和努力，員工引導客戶，客戶監(jiān)督員工，形成互補。

第二，采用操作責任制管理方案。員工的操作失誤不僅與其自身有關(guān)，也與上層管理者的管理方式有關(guān)。要減少員工操作失誤的可能性，不僅需要客戶的監(jiān)督，還需要上層管理者的督促。實行責任制，就是當員工出現(xiàn)操作失誤或錯誤的時候，員工和管理者都要為此負責，用制度給管理者施壓，讓管理者加強對員工的管理及培訓，環(huán)環(huán)相扣，保證各個環(huán)節(jié)的操作安全。

第三，采用胡蘿卜加大棒的管理方案。對員工的管理不能僅靠懲罰或獎勵單方面來完成，需要將二者結(jié)合起來，方能發(fā)揮最大功效。對有過錯的員工要給予懲罰，如：罰款，公示。對表現(xiàn)良好者要給予獎勵，如：獎金、加薪、升職。將保護信息安全與員工切身利益掛鉤，用此方法激勵員工認真對待工作，減少人為因素引起的操作風險。

其次，解決由系統(tǒng)因素引發(fā)的操作風險下的信息安全問題，主要采用以下幾個方法：

第一，按期排查系統(tǒng)風險。我國銀行目前主要采用國外的先進技術(shù)產(chǎn)品，但并沒有掌握其核心技術(shù)，對采用的系統(tǒng)是否存在安全隱患并不完全知曉。因此，銀行必須按期排查系統(tǒng)風險，及時發(fā)現(xiàn)設(shè)備故障，解除隱患，確保系統(tǒng)在一定時期的安全穩(wěn)定運行。

第二，逐漸推廣國內(nèi)信息系統(tǒng)產(chǎn)品。國外產(chǎn)品雖然技術(shù)先進，但終究不能掌握其核心技術(shù)，難以確保系統(tǒng)的安全。我國必須根據(jù)國內(nèi)的基本國情，研發(fā)出適合我國銀行使用的信息系統(tǒng)產(chǎn)品，逐漸用國內(nèi)產(chǎn)品替換國外產(chǎn)品，掌握系統(tǒng)核心技術(shù)，從而在系統(tǒng)的管理上能夠更加方便和完善。

最后，解決由外來因素引發(fā)的操作風險下的信息安全問題，主要采用以下幾個方法：

第一，國家對做好信息安全工作的銀行給予獎勵或表彰。銀行與銀行之間存在著各種各樣的競爭，國家可以通過表彰來激勵銀行加強信息安全保護的決心，增強自身競爭力及抵御風險的能力，以應(yīng)對一切不利的外來因素的攻擊。

第二，加強對法律法規(guī)執(zhí)行力度的監(jiān)督。僅有完善的法律法規(guī)制度是不足夠的，必須加強對其執(zhí)行力的監(jiān)督，讓犯罪分子得到應(yīng)有的懲戒，樹立國家法治制度的威信，對潛在的犯罪人員起到震懾作用，明確不法行為的后果，遏制不法分子對銀行系統(tǒng)的攻擊，為銀行安全運營創(chuàng)造良好的環(huán)境。

四、結(jié)語

在當前信息安全事件頻繁發(fā)生的背景下，本文緊跟時代熱點，對引發(fā)信息安全事件的操作風險給予分析。首先介紹銀行操作風險的概念及特征，在此基礎(chǔ)上，進一步分析我國銀行信息安全現(xiàn)狀，認識商業(yè)銀行操作風險管理下的信息安全問題。銀行采用了諸多保護信息安全的措施，但信息安全事件并沒有得到較好的遏制，本文對此進行分析，找出問題關(guān)鍵點，從各個方面提出銀行操作風險下信息安全管理的有效措施。操作風險最容易引起信息安全事件，而銀行的信息安全涉及多方面的利益，需要各個方面的共同努力，真正將管理方案落實到各個環(huán)節(jié)。(作者單位：中南財經(jīng)政法大學信息與安全工程學院)

參考文獻:

[1]劉培強，馬海龍.淺談我國商業(yè)銀行操作風險及防范措施.時代金融(中旬)，2014(2).

[2]陳之瑜，淺談商業(yè)銀行操作風險管理.中國外資，2014(10).

[3]馬嵐.我國商業(yè)銀行操作風險控制與管理分析.商業(yè)經(jīng)濟，2014(6).

[4]范螢心.信息全球化時代下我國國家信息安全與國際關(guān)系研究.太平洋學報，2013.21(9).

[5]何苗.銀行信用卡犯罪類型及風險防范.時代金融(下旬)，2014(3).

[6]王磊.A銀行操作風險管理體系研究.山東大學.2011.

[7]喬元昊，劉艷.重新認識銀行信息安全的重要性.英國奧斯特大學商學院，2014(6).

[8]林婷.商業(yè)銀行信息安全管理——以花旗銀行為例.浙江工商大學.2013.

[9]匡小飛.我國商業(yè)銀行信息安全的風險評估及控制.人行和田地區(qū)中心行.2014(11).

作者簡介：喬悅懌(1992.07-)，女，中南財經(jīng)政法大學在讀碩士研究生，管理學學位，研究方向：信息安全管理。