关于提高商业银行信息科技风险管理水平的思考

潘小艳

【摘 要】 当前，传统商业银行正面临着经济转型、金融市场改革、竞争加剧的多重压力，未来的发展可以说是机遇与挑战并存，而信息科技的蓬勃发展，为商业银行发挥自身优势，迎接数字化时代挑战，提供了强有力的支撑。信息科技一方面极大地丰富了银行服务的产品和类型，有效提升了银行服务的效率和质量，另一方面随着移动互联网、云计算、大数据、区块链等新技术的广泛应用，现有的商业银行信息安全防御体系面临着新形势下的新问题。一旦信息科技出现问题，轻则影响银行业务运营和客户服务，严重时可能危及银行的生存和发展。有效防范信息科技风险，已成为保障商业银行安全稳定运营的重要任务。

【关键词】 商业银行 信息科技 风险管理

一、商业银行信息科技风险的特点及信息科技风险管理的重要性

近年来，金融机构越来越重视信息科技风险管理，这一方面是金融风险管理全球化发展的必然结果，另一方面是信息科技风险的特点决定了信息科技风险管理的重要性。具体来讲，商业银行信息科技风险具有以下特点：

（一）技术性。银行信息科技本身是利用现代信息技术改造银行经营、管理方式，从而提高生产效率的过程，他涉及现代计算机技术、网络通信技术、安全技术等多方面技术问题，近年来又出现了互联网、云计算、大数据、智能终端等新兴技术。一旦出现问题，都体现了其技术含量极高的特点。

（二）突发性。信息科技风险的突发性体现在两个方面，一是自然灾害的突发性，导致银行由于信息技术领域的基础设施遭到破坏，使银行产生风险;二是由于信息过程的技术性，只要任何一个环节突发故障，都可能造成整个系统无法使用，從而形成风险。

（三）传递性。由于计算机网络快速传递的特点，一旦系统出现故障，可以使风险迅速从局部蔓延到整个网络涉及的每一个部分，从而导致风险的进一步加剧。

（四）强破坏性。一旦核心系统和主干网络出现故障或受到攻击，可能立刻传导到各分支机构，引发连锁反应，造成全行性的业务停顿的灾难性后果。信息科技系统出现风险，可能波及银行体系外的经济活动参与者，造成无法估量的损失和社会影响。

（五）多元性。传统的银行风险，多发生在银行营业场所，通过银行柜台、ATM等有限的经营场所形成。但在银行信息技术大量运用后，使得银行风险即可以通过原有渠道形成，也可以通过电话、POS、计算机和手机等任何接入网络的终端设备形成，表现出风险形成的多元性。

（六）多方性。随着银行信息技术的发展，保证银行正常经营的不止银行本身，电信部门、电力部门、产品供应商、服务提供商和商家都已成为银行正常经营的一部分。往往银行业务系统一旦出现故障，容易出现责任无法鉴定的情况，也常常给问题的快速解决带来影响。

（七）隐蔽性。目前，银行主要业务流程均已实现信息化，业务的开展依赖于信息平台。如果应用系统的设计者对银行业务流程不熟悉，或对风险点考虑不周全，可能在系统设计之初就留下了缺陷和隐患。这些问题往往存在于系统底层，日常管理和维护难以发现，在经过长期大规模应用后才能引发事端，体现出较强的隐蔽性。

二、商业银行信息科技风险管理存在的问题

（一）商业银行信息科技风险管理的有效协同不足。信息科技防控体系应该是商业银行全面风险管理体系的重要内容，是一个整体，是相互独立、相互制约、相互促进的关系。但是在商业银行信息科技风险管理过程中存在着有效协同不足的问题。一是信息科技风险管理理念传导不足，各防线、部门之间信息不对称，信息沟通和分析缺乏完善的途径和机制。二是各道防线工作上存在独立有余，侧重不足，比如科技部门更加注重开发运维，而事中风险控制不足。监督和保障部门又主要着眼于事后查找问题，各种风险控制措施没有与专业管理流程紧密连成一体。

（二）商业银行信息科技风险计量与监测机制仍需完善。信息科技风险不是一成不变的，它会随着银行业务的发展、技术的进步而变化，即便是相同的问题，在不同的系统环境、业务场景会产生不一样的风险。这就要求我们必须根据业务环境和科技状况的变化，分析存在隐患的区域，评价风险对业务的潜在影响，确定风险防范措施及优先级别，对信息科技风险进行持续有效的计量和监测，将风险控制到管控目标内。

（三）商业银行信息科技风险管理队伍人才建设仍需加强。

信息科技工作专业性较强，一支技术水平高、经验丰富、战斗力强的信息科技风险管理队伍是银行做好信息科技风险管理的前提条件。但目前商业银行普遍存在专业、专职的信息科技风险管理人才缺乏问题，人员兼岗现象较为普遍，严重影响了信息科技风险管理的效果。

三、提高商业银行信息科技风险管理水平的建议

（一）完善信息科技风险管理沟通机制，提高协同力。一是要牢固树立信息科技风险管理理念，提高全员信息科技风险管理意识，共同承担信息科技风险管理职责。二是建立和完善信息科技风险信息的沟通和共享机制，要及时、主动的传递信息科技风险隐患信息。三是要将风险管控措施集成内嵌于信息科技工作中，主动进行风险管理，深入分析和识别风险，对风险较高的信息科技领域进行事前风险评估，加强事前和事中风险管理能力。

（二）创新思维，不断提高信息科技风险监测与计量能力。一是不断完善信息科技风险监测机制，建立风险监测平台，二是根据内外部信息科技技术、安全形势的变化以及监管部门的要求，定期对风险指标进行调整，对监测系统进行优化，争取逐步实现指标的自动化管理。三是精细化信息科技风险计量，侧重各种风险管理工具的组合运用，将风险管理的方法工具化、统一化、模型化，不断提升计量的科学性和有效性。

（三）加快推进信息科技风险管理人才队伍建设。应高度重视信息科技风险管理人才培养工作。要通过采用内部全方位培养和外部引入高端人才相结合的方式，打造一支高水平的、稳定的信息科技风险管理队伍。

【参考文献】

[1] 阎庆民.中国商业银行操作风险研究，中国经济出版社，2012（4）

[2] 唐云.论金融信息系统的安全管理[J].系统安全，2013

[3] 郑博涵.金融风险及其防范问题探究[J]，时代金融，2013.