我国商业银行信息系统风险管理与对策

我国商业银行信息系统风险管理与对策

刘秋莲

刘秋莲LiuQiulian

（广东金融学院，广州510521）

（GuangdongUniversityofFinance，Guangzhou510521，China）

摘要：随着商业银行信息化程度的不断提高，怎样管理由此带来的系统风险，是商业银行目前急需解决的问题。本文分析商业银行信息系统的特征和风险，研究我国商业银行信息系统风险管理中所存在的问题，提出相关的政策建议。

Abstract:Withthecontinuesincreaseofthelevelofinformationizationofcommercialbanks,howtomanagethesystemriskisurgentproblemsofcommercialbanks.Thispaperanalyzesthecharacteristicsandriskofinformationsystemofcommercialbanks,studiestheproblemsintheriskmanagementofinformationsystemofcommercialbanks,andmakesrelevantpolicyrecommendations.

关键词：商业银行；信息系统；风险管理

Keywords:commercialbanks；informationsystems；riskmanagement

中图分类号：F83文献标识码：A文章编号：1006-4311（2011）07-0166-02

0引言

商业银行作为现代经济的核心，在加快实现银行信息化建设的过程中，越来越关注信息化项目的合理性、有效性、经济性、可用性和安全性。在这种需求的推动下，银行信息系统风险管理走上了银行风险控制的前台，成为商业银行信息化项目治理的重要组成部分。通过对商业银行信息系统风险的分析，在此基础上提出我国商业银行信息系统风险管理中存在的问题，并提出可行性的政策建议，可以使商业银行不断加强信息系统风险管理和内部控制，以适应风险环境日益复杂化的需要，以确保信息系统安全、稳定、有效运行。

1商业银行信息系统风险分析

商业银行信息系统风险是指信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。具有技术性高、涉及范围广、隐蔽性强等特征。一般可以分为系统开发设计风险、系统运行风险、业务风险、数据风险和安全风险五大类别。

系统开发设计风险是指由于系统开发过程中技术不成熟或开发人员会计知识了解不足，导致某一点的错误或不确定性，从而影响整个系统的运行。如果系统开发设计风险属于软风险的话，那么系统运行风险则属于硬风险。导致系统运行风险的原因是计算机硬件的毁损、丢失以及软件运行过程中的风险等，其典型后果是导致数据丢失、程序受损或系统瘫痪等。业务风险主要是指对会计信息进行记录、维护、处理和报告过程中所带来的风险。主要可表现为输入过程中对交易或事项的虚构或篡改、信息加工过程中会计人员职业判断的失误或误差、数据输出错误等几方面。数据风险是指非法获得数据库的操作权限，从而对数据信息进行控制和修改。信息系统安全风险主要表现为软件系统的安全缺陷、篡改或非法调用程序的风险和网络隐患，是商业银行信息系统风险中最重要的一部分内容，因为现代商业银行几乎所有的业务都运行在IT基础设施之上，尤其是新出现的金融产品和服务更加趋于开放和互联，进一步加强了对信息系统的依赖程度。信息的保密性、完整性以及信息、信息系统可用性对业务的成败起着至关重要的作用。国内外金融监管机构对信息安全都非常重视，对其制定了相应的法律法规，并严格执行。

由于银行业务处理中对及时性和可靠性的特殊需求，使得商业银行信息系统风险体现出明显的行业特征，要表现在业务和技术两个方面。一方面，业务特点是因为网络和安全技术的飞速发展，使得商业银行已成为商品交易的电子平台和电子金库。因此商业银行对数据完整性要求极高，对业务和数据的可用性、安全性，以及对业务中断和数据丢失等事故的防范和处理要求十分严格。另一方面，虽然银行开展信息化的时间较长，其应用系统较为普及，但长期来，银行信息系统相对较为封闭。近年来，随着网银、中间业务等银行新型业务和金融产品的出现，对开放信息系统的要求越来越高，银行的信息系统均开始不同程度向外开放，由于各商业银行实行数据大集中，导致单笔交易所跨越的网络环节越来越多，银行信息系统对网络依赖程度越来越高，从而对技术的要求越来越高。

2我国商业银行信息系统风险管理存在的问题

信息系统本身固有的风险在加大，而银行业是信息化技术与产品相对密集的行业，由于信息化规模的不断扩大，信息技术迅速发展，银行信息系统所采用信息技术与信息系统软硬件本身存在着很大的脆弱性，如果这些脆弱性被特定的威胁所利用，就会产生风险，从而对银行信息系统的机密性、完整性及可用性产生损害。

国内外的商业银行为了有效规避和管理信息系统的风险，投入了大量的人力物力和财力，无论从制度建设方面还是平台建设方面，无论是系统逻辑架构的整合，还是公司组织机构的调整都下了很大的功夫，也取得了相应的成绩。但同时也存在一些问题，主要表现如下：

2.1业务持续性计划银行业务不间断运营的需要，对业务部门和科技部门在灾难发生时的应对能力提出了更高的要求，虽然银行定期进行信息安全检查，但是尚未制定完整的业务持续性计划，也没有对应急预案进行测试贵行目前没有完善的BCP/DRP（业务持续计划/灾难恢复计划），也没有针对主机死机、网络瘫痪以及自然性灾难事件等制订相应的应急方案。

2.2数据备份管理在商业银行信息系统风险的管理中，缺乏统一的异地备份监管制度，没有建立备份数据的定期恢复性测试机制。而管理层也没有定期复核数据备份的执行情况，也没有对灾备演练进行定期复核。缺乏完善的备份介质存取管理制度，针对备份数据存放在异地未取得必要的收据以明晰存储方的责任。

2.3系统变更管理系统变更管理在商业银行信息系统风险管理中是很重要的一部分内容，目前我国商业银行针对应用系统和数据库的变更没有完善的变更审批和定期复核机制。此外，在测试方面，虽然有些银行已经成立了测试小组，但未能承担全方位的测试工作，大量测试工作还是由开发部门承担。

2.4信息安全管理和用户管理信息安全管理是商业银行信息系统风险管理中最重要的一部分内容，我国商业银行在信息安全建设管理时，信息安全的各个政策之间往往缺乏一致性、连贯性；在对分行的信息安全管理控制中缺乏有效监管，包括网络安全设置也缺乏统一的标准。在用户管理方面，用户授权管理不够完善，缺乏对系统中用户状态和权限的定期复核。此外，缺乏一套完善的应用系统密码机制，不是所有的应用系统的密码策略都进行有效诸如时间、密码复杂程度以及定期密码修改等设置机制。信息安全问题还表现在与第三方之间的数据传输中的加密方式存在漏洞等。

3有效实施我国商业银行信息系统风险管理的对策

要实现商业银行信息系统有效的风险管理，减少由于信息系统风险带来的损失，一方面，我们要加强基础设施建设。另一方面，就是要加强制度和标准建设，把制度建设平台化、与自动化结合起来。无论是基础建设还是制度建设落实到现实的工作，我们一般从如下几个方面工作开始着手“软件质量和过程改进”、“数据备份、灾难备份和灾难恢复”、“IT连续运行机制”、“业务持续性计划”、“信息系统的审计制度”，这些方法无疑是商业银行信息系统风险管理最有效方法之一。

3.1实施软件过程改进和控制要想有一个可靠的信息系统支持业务日益增加的商业银行运作，信息系统的质量、系统变更维护的过程控制是关键，因此建立一个有效的软件过程控制制度体系，并且保证信息系统变更维护是遵循这个过程控制体系是很重要的。目前，学术界和工业界公认美国CarnegieMellon大学软件工程研究所（CMU/SEI）以W.S.Humphrey为首主持研究与开发的软件能力成熟度模型CMM是当前最好的软件过程，已成为业界事实上的软件过程的工业标准。实施CMM对信息系统开发过程控制的发展起着至关重要的作用，但并不是实施了CMM，软件项目的质量就能有所保障，按照CMM的思想进行管理与通过CMM认证并不能划等号。CMM是一种资质认证，它只可以证明我们对整个软件开发过程的控制能力。要将CMM实施好，我们必须做好以下的几点：软件过程改进必须有高级主管的支持与委托，并积极地管理过程改进的进展；中层管理的积极支持；责任分明，过程改进小组的威望高；基层的支持与参与极端重要；利用定量的可观察数据，尽快使过程改进成果可见，从而激励参与者的兴趣；将实施CMM与实施PsP和TSP有机地结合起来；为企业的商业利益服务，并要求同时相符的企业文化变革。此外，在软件过程控制和过程改进中，还存在制度化理念和现有企业文化的冲突、管理人员质量意识达不到要求和市场因素等难点，需要我们不断的去克服。

3.2建立数据备份、灾难备份和灾难恢复策略数据备份、灾难备份和灾难恢复在商业银行信息系统风险管理中是至关重要的内容，这在银行界管理层都有共识。那该如何有效实施呢？具体可以从备份窗口、恢复时间、备份间隔、数据的可恢复性、介质的保管和运送和备份的成本这几个方面进行加强。在实际的操作过程中，首先要得到管理层的支持，这对于任何一个IT实施工作来说都是至关重要的。其次，在项目实施前，要做相关的危险性和影响度评估，确认资产的重要程度。再次，要将明确的计划方案清晰的记录成档案文件，从而使得后来者参照执行。第四，要有完整的备份，在灾难到来时，可以及时地通过某种方式证实数据的有用性和能够有效的将数据恢复出来。此外，要准备充足的备份设备和设备所需的电力，以保障系统的正常运转。

3.3建立IT连续性计划、业务持续性计划业务连续性涵盖面超出了IT连续性计划的范畴，它是一个包含了保证业务连续运行的各组成环节的管理流程。IT连续运行是业务连续运行的基础，而灾难恢复是IT连续运行的基础。另一方面，也可以看出，灾难恢复不是IT连续运行的全部。业务连续性IT框架主要关注IT的连续运行，其与业务连续性和灾难恢复的关系可以如图1所示。一个成功的业务连续策略需要满足重要业务流程的需求，需要业务及科技决策人的共同参与，需要超越传统的备份/恢复及灾难备份计划方案，将业务连续性计划的制定视同为任何新系统的设计计划的一部分，将其集成为IT变更管理流程的一部分，成为新应用开发中的一个必要的非功能性需求。在具体的实施过程中，要注意定期对业务持续性计划进行时效性测试，高级管理层参与，关键业务领域的识别，灾难计划成本的识别和管理，资源供应商和客户，使计划经常和完全的模拟以及持续性计划中的人员考虑，包括个人安全和撤离、快速反应组织的关系和危机交流计划。

3.4建立信息系统的审计制度信息系统审计（ISA，InformationSystemAudit）是指根据公认的标准和指导规范，对信息系统及其业务应用的效能、效率安全性进行监测、评估和控制的过程，以确认预定的业务目标得以实现①。针对商业银行而言，信息系统审计就是以银行的信息系统为审计对象，通过现代的审计理论和IT管理理论，从信息资产的安全性、数据的完整性以及系统的可靠性、有效性和效率性等方面出发，对信息系统从开发、运行到维护的整个生命周期过程进行全面审查与评价，以确定其是否能够有效可靠地达到组织的战略目标，并为改善和健全组织对信息系统的控制提出建议的过程。银行信息系统审计内容包括对信息系统内部控制的审计、对信息系统本身的审计和对信息系统数据的审计。

要确保信息系统的审计有效实施，可以从以下几方面入手：①建立全方位IT审计管理体系，商业银行和金融监管机构应该各司其职，通力合作，此外，还应提高针对金融企业的信息技术水平；②建立商业银行IT审视规划，因为恰当的IT审计方案与规划是IT审计工作的核心基础，是保证审计目标实现，以及达到相关审计效果的关键；③建立国际标准框架下的标准和规范体系，我国商业银行应该按照国际通常做法，结合本行实际，确立自己的IT审计标准和规范；④建立合理的IT审计管理模式，目前商业银行开展IT审计应将现场审计与非现场审计有效结合，并利用好不同审计模式取得的成果，形成互补；⑤加强IT审计专业人才的培养。

4结束语

本文从关注如何规避商业银行信息系统风险的角度，介绍了商业银行信息系统风险的相关概念和规避风险的技术方法，整理和分析了国内商业银行信息系统风险管理所存在的问题，并提出相应的政策建议，对加强商业银行信息系统风险管理具有现实的指导意义和参考价值。

注：①张倩.信息系统审计:信息时代的公司治理.中国管理信息化.2005(3):26-28.

参考文献：

[1]杨烺,西米莎,王如龙.商业银行信息系统风险评估模型的研究与实现[J].计算机技术与自动化，2007,26(1).

[2]孟大耿.商业银行信息系统的风险与审计研究[J].金融.2009，(8).

[3]张倩.信息系统审计:信息时代的公司治理[J].中国管理信息化，2005，(3):26-28.

[4]张云志,张震.银行业信息系统风险控制及其审计方法[J].网络与信息，2009，(2).

[5]丁建平,薛恒新.IT审计与商业银行信息系统风险防范[J].现代金融，2005，(12).

[6]孙强主编.信息系统审计:安全、风险管理与控制[M].北京：机械工业出版社，2003.09.

作者简介：刘秋莲（1967-），女，湖南益阳人，硕士研究生，工程师，研究方向为计算机软件。