浅谈商业银行的信息服务体系建设_浅谈商业银行
时间:2019-04-15 03:21:04 来源:雅意学习网 本文已影响 人 
摘 要 走过了会计电算化初级阶段的商业银行已经完成了数据集中部分,现正处于数据应用刚开始的阶段,朝着金融信息时代发展。在发展的过程中,商业银行的信息服务体系出现了问题,面临着相应的风险。本文分析了商业银行信息服务体系的现状以及趋势,以及其存在的风险和问题,进而提出了十一措施。
关键词 商业银行 信息服务体系 信息科技
中图分类号:F832.2 文献标识码:A
以会计电算化为基础的信息化水平随着信息化技术的不断发展而日益提高,从而改变了商业银行会计核算的服务方式和服务质量。这种改变创造了良好的社会效益和经济效益,包括信息化对于商业银行金融创新、经营模式、交易方式、经营形式和管理体制等带来的巨大的改变。在使用会计电算化后,信息科技系统替代了银行会计业务的运转,人工操作变成了信息处理的上机操作,与此同时信息科技系统对于商业银行的经营管理和决策产生了非常重大的作用。这时银行的操作风险、法律风险、战略风险和声誉等新的风险形态尤其要注意。
一、商业银行信息服务体系的现状和趋势
正逐步向集约化管理和决策支持的高级阶段发展的商业银行从建立模仿手工作业的单项会计业务应用系统开始经历了多项业务应用集成处理阶段。会计电算化可以分为三个发展阶段。初级阶段是计算机处理开始代替手工操作生成电子数据的从20世纪80年代到90年代初;第二阶段是全国范围内计算机联网、业务管理、互联互通、大小额实现计算机处理的90年代中后期到现在的数据集中阶段;第三阶段是从现在开始的数据应用阶段。这个阶段是银行运用互联网的技术与环境进行金融创新,完成业务的集中处理,开拓网络金融服务的时代。目前正处于数据集中部分完成、数据应用刚刚开始的阶段的商业银行正处于关键的时刻,对于未来的竞争起着重大的作用。
目前商业银行的信息服务的趋势是实现金融的信息服务化。通过完备的信息系统,给银行的业务重组、金融产品创新和金融管理模式的变革带来深层次的变革个才是真正金融信息服务化。要实现银行从提供单一业务转变为面向客户综合服务以及银行业形成产品化和服务化,商业银行需要具备既精通银行业务又精通信息技术的专家统筹信息化建设。
二、商业银行在信息服务体系建设中存在的风险及问题
(一)信息科技治理方面。
确保信息科技战略和目标与业务的策略一致是信息科技的目标。只有实现了这个目标才能够使得信息科技更好地为商业银行提供服务和支持,使得信息科技资源得到最恰当的应用。其中的风险以及问题如下:
第一,可能导致的法律风险、战略风险以及信誉风险:错误的信息资源的分配以及对法律法规的违背;信息系统无法满足业务的需求;信息科技战略无法与业务的发展需求相一致;缺乏完善的管理信息系统导致的低效率管理决策;较差的信息系统支持导致的市场竞争力低下。
第二,可能导致的问题:由低效率的信息科技资源配置所导致的项目延误;员工素质和技能达不到信息科技专业要求的水平;独立的科技风险管理部门的缺乏;企业内部“风险文化”认知的缺乏;会计专业和信息科技人员等对技术风险存在很差的意识;信息科技人员存在着职责的冲突;高级管理层未参加到信息科技督导委员会;信息科技项目发展与业务战略不一致;信息科技内控制度和措施缺乏定期检查和更新。
(二)安全管理方面。
确保关键信息系统和数据得到充分保护,使得非授权的进入和意外的中断能够得到避免是安全管理的目标。其中的风险和问题如下:
第一,可能导致的法律、操作和信誉风险:保密信息泄露;损失金融机构的重要资料;电脑病毒,蠕虫程序的爆发;不遵守监管规定;工作时间业务停运和数据损失;未经授权的金融交易。
第二,可能存在的问题:不恰当的个人存取权限设置;特权用户和紧急用户代码的使用;敏感信息存储未加密;客户敏感性信息由于较差的移动设备管理而泄露;定期安全监测的缺乏;末及时进行补丁升级导致电脑病毒感染爆发。
(三)系统开发和变更管理方面。
确保开发及维持高质量的信息科技系统.并充分配合及满足业务需求是系统开发和变更管理的目标。其中存在的风险和问题如下:
第一,可能导致的操作风险、战略风险、信誉和法律风险:长时问的系统停运;泄露了保密信息;达不到银监会的管理要求;数据不完整;推出科技信息系统的时间受到延误;低质量的信息系统不能实现业务发展要求;系统未经授权而导致风险增加。
第二,可能存在的问题:测试环节直接使用业务数据;对系统变更和相关批准程序没有审计跟踪和记录;正式项目质量确认和生命周期规程评估程序的缺乏所导致的项目延误;缺乏全面测试和不协调的系统变更所导致的会计电算化综合业务系统停运。
(四)信息处理方面。
确保信息科技服务和信息处理的连续性是信息处理方面的目标。只有实现了这个目标,才能更好地保证会计电算化综合业务系统主要业务服务不发生中断。其中存在的风险和问题如下:
第一,可能导致的法律、操作风险和信誉风险:系统无法满足业务增长的需要;关键设备以及信息因非授权收取而影响;保密信息被泄露;系统长时闻停运。
第二,可能存在的问题:缺乏对重要的环境控制的定期维护;缺乏对敏感的操作环节进行控制;系统中心机的物理安全和环境控制措施不足;容量无法达到业务增长的要求。
(五)通讯网络管理方面。
确保网络连接和服务的连续性是通讯网络管理的目标。其中存在的风险和问题如下:
第一,可能导致的法律、操作风险和信誉风险:如“阻绝服务攻击”等的网络停运;保密信息因外部网络而泄露;网络连接未经过授权;网络瘫痪导致长时间业务停运;未遵守银监会的监管要求。
第二,可能存在的问题:网络抗冲击性脆弱;缺乏对关键的组件的监测;缺乏对内部网络的远程的安全控制措施;对需要在外部通讯网络上传输的数据未进行加密。
(六)技术服务提供商管理方面。
确保外包的信息科技服务能够获得有效和持续的管理是技术服务提供商管理的目标。其中存在的风险和问题如下: 第一,可能导致的法律、操作风险和信誉风险:将核心程序设计外包或者直接采用专业公司套装软件,过度依赖外部服务供应商;缺乏对需求要求改变时的修改和维护能力;外包设计人员管理留下风险隐患和外包软件本身设计缺陷;系统因低质量的服务而中断。
第二,可能存在的问题:外包管理不充分;数据隔离和区别不充分;服务水平协议不充分;缺乏对服务供应商经常性的服务状态评估;对外包的营运职能缺乏有效的应急方案和解除服务方案。
三、完善商业银行信息服务体系建设的措施
(一)抓好信息服务体系建设的风险管理工作。
首先,要明确责任。科技安全第一责任人的风险意识要加强,董事和监事会以及高级管理层都必须要对信息科技的风险负责,全系统由上到下的信息科技风险体系都应该是他们的责任。董事必须对于信息科技风险的战略规划、工作任务以及工作目标进行层层负责,评价分析审计结果,督促和落实整改方案。监事会必须对全过程的合理性、科学性以及充分有消息进行审计和评价,并调查董事会以及专职委员会以及高管人员的履职情况,以此同时质疑内部审计和外部审计工作。高层管理人员必须认真听取内部审计和外部审计的工作汇报,亲自抓好具体的组织实施工作,并且对于工作进行差距分析和敏感性分析,然后将工作方案进行及时调整,充分向董事会和监事会反馈和沟通对工作计划和工作任务的建议和意见。
(二)设立信息科技督导委员会。
信息科技督导委员会的任务是:对长期和短期信息科技战略规划进行制定和不断更新;提供日常的运行技术和科技服务支持,这个由信息科技督导委员会统一负责银行信息系统规划、研发、建设、运行、维护和监控来实现;建立实施恰当职责分离的信息科技组架构,制定清晰的岗位职责;提供充分的培训给信息科技从业人员;协助会计业务部门以及信息科技部门严格执行建立的有效的会计信息安全保障体系和内部控制规程;明确专门和独立的科技风险管理部门的岗位责任制度,并进行监督落实;对信息科技稽核审计部门配备适量地合格人员以及建立健全的会计信息系统风险审核制度方便风险审核。
(三)制定系统开发和变更项目管理体系和规则。
对开发项目生命周期的管理规则进行制定以及独立确认评价其中的主要技术相关项目。同时,隔离开发测试环境和实际使用环境,将用于测试的业务敏感数据进行删除,有充分的风险控制措施应对紧急变更,变更管理规程要有适当的措施。
(四)与客户资金、会计等业务部门签订服务水平协议。
制定正式的信息科技操作规程。制定充分地容量规划以适应本行的业务发展需要;持续性预防和矫正信息科技设施和装备;建立充分地咨询服务台和操作支持,及时检测和报告异常操作和事件。
(五)加强网络系统安全管理,强化网络性能监测。
隔离会计电算化综合业务信息系统与外部网络和办公管理网络;对控制互联网以及无线网的接入边界;有效降低信息泄露以及外部攻击,这可以通过进行身份认证、内容过滤、防火墙、病毒防范、数据加密等技术手段实现;网络分析工具的使用要进行严格控制;对无线内部网络制定安全控制措施;网络设施有充分地抗冲击性;定期评估网络设施的安全设置;审计跟踪以及记录监察关键网络设施中的日常活动;
(六)有效管理信息的采集、存贮、传输、使用、备份、恢复、抽检、清理、销毁等环节。
严格按照授权优化系统和数据库的安全设置和使用;对于信息的采集加工、传输以及存取不脱离会计综合业务。
(七)该消除“信息资源孤岛”,实现应用层面的互联互通。
要打破林立和由于数据内容缺乏应用形成的数据和资源的单独应用的情形。通过应用智能搜索引擎、建立目录索引指南、逐步搭建利用网格平台等多种方式收集信息,开发网络资源,共享数据资源。
(八)改进信息流管理方式,主动适应经营模式的变化。
为了使管理会计以及账务核算的信息采集和系统设计内核全面转向以用户、客户为中心,必须要适应矩阵式管理架构和组织扁平化的发展。根据中后台集约以及前后台分离的新
运营模式,管控数据,非线性的信息流转得以实现,加速信息的共享和兼容。
(九)加强信息服务创新,统筹把握信息价值。
信息服务必须坚持用创新来从容应变。要注重积累、提炼和运用文本信息中的关键要素,懂得借鉴国内外的先进经验,量化分析预测分类分层业务,重点支持差别化的挖掘服务,真正结合电脑和人脑,真正做到满足用户的需求,努力使数据、信息、知识和实践融为一体。
(十)加大信息科技资金投入。
加大对信息科技的资金投入是银行信息化系统服务建设的物质基础和基本条件。只有投入了充足的资金,才能够更好地建立起手段过硬、技术先进、保障有力的信息科技风险防范体系。银行需要结合银行存在的声誉、法律以及操作、战略风险,以实现前瞻性防范为目标,通过关注信息服务体系风险的新动向,加强技术风险的防范工作。
(十一)加强对资源系统研发、运行、维护过程中形成的各类技术文档资料和系统环境说明文件、以及重要数据的备份管理。
加强对应急处理机制以及信息通报机制的完善和安全监控的实行,演练、评审和修订应急预案;保留并异地存放副本,按照规定的年限保存,经过严格授权再调用;异地保存省域以下的数据,异地备份全国性的数据;通过提升信息服务系统的预警、应急处置和恢复能力,保证信息服务系统的稳定运行;通过对信息安全应急恢复系统的完善,保证系统的安全稳定运行。□
(作者单位:中国社科院金融所,兴业银行信息中心)
参考文献:
[1]王小燕,田小丹,周建民.构建流程银行加速我国商业银行管理信息化建设.江苏商论,2008.2.
[2]张戚虎等.金融信息化建设与金融信息化教育.中国金融.2006.
[3] 尤川川.我国商业银行金融信息化脱状与展望.统计与决策.2006(17).
[4]郝向荣,李爱军.中国银行业金融信息化过程中的风险及其防范.价值工程2007年第10期.
[5]刘芳.信息不对称与商业银行信贷资产风险管理.时代经贸,2008年7月.
[6] 程宗安等.金融信息化存在的风险及防范措施.华南金融. 2003.
