性银行信息科技风险原因分析及对策

现代性银行的未来与发展已经与信息科技的发展密切相关，信息科技风险越来越受到人们的关注。如何认知信息科技风险的特点，寻找产生信息科技风险的根源，充分识别、分类、防范和规避信息科技风险，从而最大限度地降低信息科技风险，是摆在信息科技工作者面前一个严肃的课题。本文就此做一分析，并提出对策和建议。

一、信息科技风险的特点

1．认知弱。从领导层对业务风险的的认知清晰，很熟悉，但对科技风险对银行的影响知晓度不高，参与度不够。

2．难度量。一般风险可用特定方法度量，如经营风险可用经营杠杆系数衡量，财务风险可用财务杠杆系数度量。但因为信息科技风险的不确定性更强，目前还缺乏很好的评价指标和评级体系。

3．易扩散。现代信息技术的发展，银行不可能只通过内部网开展业务，而必须借助互联网。这种内外交互使银行在享受便捷的信息服务的同时，也会使银行受到黑客的攻击或因操作失误波及整个经营网络，导致损失迅速蔓延放大，从而影响银行形象和声誉。

4.影响大。一旦发生重大信息科技风险事件，比如信息系统瘫痪，则很可能导致全社会交易秩序的错乱，损害客户利益。

二、信息科技风险的根源

信息科技治理不完善。治理文化未形成、公司治理与信息科技治理、治理架构不全、责任不清晰。

信息化建设滞后于业务发展。新的业务需求不断出现，当前在基础建设、应用开发、数据分析、信息共享等方面都与 “以客户为中心”经营模式有相当的差距。

系统管理粗放。虽然建立相关制度，但制度实施效果不佳，缺乏 相关流程。在规划部门、技术风险管理部门和审计部门三者之间的职责分工、管理流程等方面存在严重问题。

软硬件及核心技术受制于人。目前各银行大多数高端软硬件设备都是进口的，软件开发大多是外包给第三方，核心技术受制于人，对系统安全造成隐患，甚至可能危及银行的健康发展。

信息科技的价值不能充分体现。管理层看到的前台业务的价值，对处于中后台的信息技术价值的缺乏认识。

队伍建设很不适应。信息科技人员占员工比例偏小，而从事开发、规划等尖端人才比例更低。

信息科技风险管理基本上被 “事件推动”。缺乏有效的信息科技风险管理体系，风险控制措施的实施靠不断发生 的安全事件来推动。

信息科技风险管理机制没有建立起来。信息科技风险管理在组织、制度、人员、技术等方面没有形成体系。

信息科技风险管理绩效与机构及人员的考核体系没有挂勾。

信息科技审计力量单薄，信息科技审计标准没有建立起来　　

三、性银行信息科技风险概述

信息科技风险按照成因基本分为以下四类：性风险、决策性风险、系统性风险和操作性风险。

性风险是指由于变化而系统未作相应变化或无法变化导致的风险。如规章制度变更（如会计制度变化,会计科目调整）、金融宏观数据调整（如利率调整，准备金率调整等）等。其危害是由于系统没有及时调整、调整不当或无法调整，可能造成数据错误或者系统无法运行。性风险是不可抗的，任何一个系统都会存在这样的风险，对此必须正确地对待、分析和处置。

决策性风险是指由于决策不当或项目草草上马，可行性较差，达不到预期的效果，最终使项目成为弃之可惜、食之无味的鸡肋，其危害是产生大量的无效劳动，造成资源的极大浪费。决策性风险是决策层面形成的风险，具有风险级别高、风险损失大、难以补救等特点。

系统性风险。任何实体都会面对自然灾害、人为破坏、结构失衡、系统失效等问题，也就是人们通常所说的天灾人祸。其危害是系统崩溃或系统无效造成系统不可用，进而产生经济损失和声誉风险。系统性风险是客观存在的风险，要对此进行科学的评估、识别和规避，制定合理易操作的应急预案。

　　操作风险性是指由于外部人员恶意攻击、内部人员利用工作之便纂改敏感数据、系统没有进行适当授权和控制、信息科技人员不按有关规定操作从而产生伪数据、系统局部失灵或系统瘫痪。操作风险在金融信息科技风险中大量存在，也是信息科技风险预防和控制的重点。其危害是经济损失、给声誉带来负面影响等，又可以细分为内部欺诈、外部欺诈、业务中断、滥用授权控制、系统上线前未进行充分测试等。内部欺诈是指内部员工利用工作之便对信息科技系统中的敏感信息，如客户信息、客户服务级别、客户协议、账户余额积数等进行纂改，为本身或他人谋取利益的行为。外部欺诈是指外部人员利用与信息系统有关系的工作便利或虽无关系但采取恶意攻击的方法非法登录信息系统刺探或修改敏感信息，从而有意无意谋取利益或影响信息系统安全的非法行为。业务中断是指由于信息系统不可用造成本地区（或全国/全球）局部（或全部）业务无法受理，其危害是给银行声誉带来负面影响，诸如网络中断、前置服务中断、电力中断等。业务未进行适当授权或控制是指信息系统对系统的运行或变更没有进行相应的授权或控制，引起数据混乱，造成系统停业、客户资金随意转出等不良或严重后果，其危害是经济损失和给声誉带来负面影响。系统上线前未进行充分的测试，一般是指新业务由于业务开办时间紧迫、同业竞争压力或没有第三方测试环境等因素没有经过充分的测试，造成业务投产后流程中断、无法办理，严重影响信息系统使用者的声誉，其危害是经济损失和给声誉带来负面影响。

　　四、性银行信息科技风险的对策

　　了解了性银行信息科技风险的成因和特点后，就能够有的放矢地预防和控制信息科技风险。

　　1.避免性风险

　　法律审查部门或法律顾问要经常性地对银行有关进行法律审查，看是否与本国或监管部门法律法规相违背，同时密切关注本国或监管部门的法律变化及变化趋势，避免法律滞后造成的法律风险。同时，银行各应用系统要科学设立科目、利率、准备金率调整的应用模块，在遇到相关调整时在最短时间内高效完整完成。

　　2.防范决策性风险

　　防范决策性风险的最好办法是项目立项时要经过严格审慎的可行性分析和集体决策，反复征求意见，反复论证，专家评估等环节，避免出现个别领导的拍脑袋决策。

　　3.控制系统性风险

　　系统性风险是信息系统固有的风险，我们既无法回避，也不能置之不理，必须采取科学的态度对待，采有效的方法识别，采取得力的措施进行防范，具体来说，应该采取以下不同的方式进行处置。对于自然破损问题，可采取备份的方式加以解决，根据设备的地位、作用和价值等因素统筹考虑是整机备份还是关键、主要部件备份，是冷备还是热备，是同城备份还是异地备份等。对于人为破坏问题，可采取适当的措施加以防范，最好采取人防和技术防范多种方式。如适当的授权或控制程序、有效的保护措施、必要的监控措施等。对于结构失衡问题，关键是在项目立项时要进行项目风险评估和规避建议，避免项目先天不足，设备内部、设备与设备之间非100%匹配和兼容，出现时好时坏的偶发故障，给日后的工作带来隐患。对于系统失效问题，要定期对系统进行评估，一是看系统性能是否正常，如果不正常就要进行分析，是设备老化还是系统臃肿，解决设备老化的手段是更新设备，解决系统臃肿的手段是进行系统维护和数据清理；二是看系统是否与现行的规章制度或有关监管部门的要求相违背，如果不符合要求就要在规定的时间内升级或更新，防止造成业务中断。

　　4.预防操作性风险

　　（1）内部欺诈。防范内部欺诈的手段较多，如制度的约束、良好的银行文化和科技文化的建设、健康的系统控制、业务多角色操作和授权等。

　　（2）外部欺诈。常言道，道高一尺，魔高一丈，因此，防范外部欺诈的难度较大。对此，银行应该尽到应尽的义务，如风险提示、设备的防护、系统的防范等，对于银行自身的系统要采取必要的安全措施，如采用让客户预留验证信息、登录验证码、汇款验证码、防钓鱼网站等成熟的信息安全技术。

　　（3）业务中断。业务中断的原因非常复杂，既有内部原因也有外部原因，因此，防止业务中断的措施也非常多。

　　对于外部原因造成的中断，一是要与有关合作伙伴签订业务支持保障协议，进行硬性约束，如对于电力、电信等部门就可以签订合作协议，对违约行为进行处罚；二是对系统进行必要的安全保护，最大限度地防止非法侵入，如设置登录验证码，就可以很好地防止间谍软件对客户密码进行刺探。对于内部原因造成的中断，一是开发系统监控软件，对系统运行情况进行监控；二是要对系统定期进行例行健康检查；三是做好系统备份；四是要建立切实可行的应急预案，一旦遇到问题，做到早发现、早处置，争取把事故消灭在萌芽状态，或把事故影响降低到最小范围，或把损失控制到最小值。

　　（4）业务未进行适当授权或控制。对于此类风险，分为硬件控制和软件控制。对于硬件，可以采取硬件的物理控制和逻辑控制，物理控制包括加装保护装置；逻辑控制包括给系统设置防火墙、实行密钥控制等，防止非法侵入。对于软件，一是对自身系统要加强涉密资源管理，杜绝简单密码和明码（如N位相同数字组成的密码等），二是对重要的交易实行身份审查和适当的授权，防止不法分子冒领或转出客户资金。

（5）业务投产未进行充分的测试。对于此类风险，一是要加强制度建设，强化业务投产测试管理，加大违章处罚力度，在业务投产前进行相应的交易、参数、账务、报表等测试，确保系统投产后安全、平稳运行；二是要对不具备第三方测试环境的系统搭建模拟器，如搭建跨行支付、银企互联、公民身份信息联网核查等系统模拟器等，尽量避免出现测试死角。

五、几点建议

1.在实施信息科技风险管理措施时，需要人、财、物方面的资源投入，需要得到领导的大力推进与支持。

2.建立有效的IT风险管理组织，协调好IT风险管理组织与各部门之间的关系，真正的安全工作不光是IT部门的事，需要各个部门所有员工的参与，领导的协调工作尤其重要。

3.建议把信息安全纳入生产运维安全体系，并持续开展安全管理工作，督促落实人员职责，把安全意识、安全技能、安全措施当作重要的工作内容来抓。

4.为促进信息安全体系的持续改进，建议把对信息安全管理体系的审计纳入组织内控审计体系。

5.将信息安全绩效作为机构与人员评价指标之一，纳入人力资源考核体系，制定并落实信息安全奖惩措施。

6.推动信息安全的教育与培训的工作的开展。安全的意识的养成、安全技能的完善、管理水平的提高离不开多层次的培训工作。

7.建设信息科技风险管理平台，将各类信息汇总关联成为科技风险信息，形成信息安全风险管理的“仪表板”，通过系统多角度地展示信息安全风险，可以有利于管理层简洁、形象地了解信息科技风险情况并作出相应的决策。