郑晓玲

一、银行IT系统风险涵义及风险成因

银行的IT系统风险，是指任何由于使用计算机硬件、软件、网络等系统所引发的不利情况，包括程序错误、系统宕机、软件缺陷、操作失误、硬件故障、容量不足、网络漏洞及故障恢复等。其风险成因如下：

(一)数据高度集中。引发风险

自2003年上半年始我国银行从原有的数据分布式处理模式逐渐转向数据大集中处理模式。虽然数据集中可节约人员、场地等设施成本，促进新业务的推广应用，利于银行间实现网络互连、业务互通，为银行带来巨大收益，但数据的高度集中也会诱发风险。轻则降低银行的服务水平、阻碍其业务正常开展，重则导致大范围、长时间停业。使银行面临信用危机，造成不良社会影响。例如银行现代化支付系统的清算账户即准备金存款账户在物理上全部集中在国家处理中心，这种数据高度集中的结构解决了以往清算账户分散、IT数据信息不集中、不利于账户监督问题，但同时也带来了新的风险。若国家处理中心运行出现问题，不仅商业银行的异地跨行业务，各地人行涉及到的金融机构清算账户的所有业务如存取款、再贴现、再贷款、同城票据交换等都会受到影响无法进行。

(二)与国际接轨，IT外包蕴涵风险

银行IT外包是指银行以固定的价格，在一定的IT服务水平基础上，以合同方式委托IT服务商向银行提供所需的部分或全部IT功能的一种信息服务。常见的银行IT外包涉及银行通信网络管理、信息系统运作和管理、应用系统开发和维护、系统备份和灾难恢复等。

2006年底我国银行业全面对外开放，为了顺利与国际接轨，改革已有的业务品种和流程，配备能与国外银行进行业务往来的核心系统软件，国内银行实施核心业务系统外包，试图通过外包在短时间内引进国外银行的先进管理理念和经营模式，解决现有的流程和系统架构问题。可是将IT系统服务外包给专业服务商虽然能够帮助银行规避IT风险投资、适应客户需求、减少费用获得成本优势、全面提高IT服务水平和提升核心竞争力，但通过外包捷径与国际市场接轨同时也伴随着风险萌生。例如采取系统外包，银行本需要一个理想的核心业务系统，有完整的业务描述。包括产品模型、业务流转处理模型，系统技术结构完整，预置以工作流程模块和模板功能的软件解决方案，能够为存贷、中间和理财业务等提供全方位的支持。可国外的核心软件大都是成熟产品，在全球有着广泛应用，当系统实施时国外软件商一般都不会针对我国国情及监管机构的要求作特意调整，而国际上成功的外包案例又都离不开银行依据自身特色对外包系统进行“本土化”再造。

同时银行IT外包前未全面评估服务商的人员、技术、财务状况、综合服务水平，片面追求服务商的局部优势尤其是技术操作层面上的细节，忽略其总体服务水平。在IT外包合同中未详细列明服务商必须提供的最低服务水平、详细服务范围和标准、发生故障时服务级别及相应时间等，导致在实际发生变化和意外故障发生时处于被动无奈地位。在IT外包合同执行期间，很少对服务商的财务状况以及支持IT外包业务的技术和关键人员进行有效监督和管理，甚至将监管的责任移交给服务商，忽视必要的审计检查，省略必须的技术文档交接等，因此蕴涵风险。

(三)银行业务对IT高度依赖，触发风险

现代银行业作为知识密集型产业，与传统银行业相比，在组织结构、业务流程和业务开拓等方面不断体现出以知识和信息为基础的特征，这种行业属性决定了其必须以飞速发展的信息技术为支撑。但银行业务发展对IT的过度依赖，导致风险也并存于其中。例如大额IT系统的开发和建设一般由商业银行各自的总行统一组织开展，由于其开发和推广采取了外包形式，人行和商业银行各地分支机构的参与程度不深：对系统的熟悉也不够，在系统出现大的故障时无法采取有效手段予以解决。在大额IT系统的管理体制上，业务和运行管理脱节，不能进行有效配合，有些故障和事故发生后不能及时报告和进行有效处理。系统运行缺乏必要的技术手段，不能及时监控各节点的运行状态。国家处理中心网管系统只能监控骨干网运行情况，由于资金、技术及设计等方面的原因，城市网的网管基本上未建立起来，只能靠原始手段了解银行前置系统的运行状态，当发现问题时，有时已错过当天的有效解决时间，造成业务处理延迟。2006年4月我国银联全国跨行交易系统瘫痪6小时，国内大部分商户的POS机便无法刷卡，所有银行的ATM终端都无法进行跨行操作，由此可见银行业务对IT的高度依赖性在一定程度上成为新的风险。

此外IT外包服务范围的日益扩大，使银行对外部IT服务商所提供的全方位、高质量服务的依赖性逐渐增强。随着合作时间的推移，任何变更都须经由或取得外包服务商的同意，从而降低IT服务的灵活性，导致银行内部IT人员的创新能力下降、技术水平和综合能力大打折扣在失去竞争力的同时，也面临着IT服务成本上涨的潜在风险。

二、银行IT系统风险管控对策

风险管理一直是银行业务经营关注的重点，有效控制风险是银行业长期关注的问题。2006年11月中国银监会颁布了《银行业金融机构信息系统风险管理指引》，从总体、研发、运行维护、外包四个方面出发，对我国银行业所依赖的信息系统风险控制作了明确的指导与规定。为了进一步加强风险监管，银监会还引进实施了信息科技风险自我评估系统。刘明康主席亲自致函香港金管局任志刚总裁，与香港金管局建立IT风险与监管双边合作机制。

随着银行业风险意识的不断加强，风险管理系统的建设也在不断加强。投入持续增长，尤其近几年基于巴塞尔新资本协议的要求，我国银行业积极借鉴巴塞尔新资本协议完善和提高自己的风险管理系统。针对我国银行业现状，借鉴国外银行的经验和教训，建议对IT系统风险管理从以下几方面入手：

(一)构建先进的IT服务管理体系，确保业务支撑系统安全运行

在中国经济国际化和金融全球一体化趋势影响下，国内各商业银行纷纷进行战略转型，并购、融资、上市。面对纷繁复杂的金融环境，国内银行的业务支撑系统正经历前所未有的冲击，IT管理部门正经历着严峻的挑战。银行对业务系统的管理能力提出了新的要求，例如要求确保在客户交易高峰时段做到对IT资源准确、合理地调配：要求IT管理者最大限度地满足业务需求的同时规避频繁版本更新对业务系统的潜在风险：要求在网上银行、银证通、银行卡等业务量翻番时，监控和管理好关键业务应用。保证生产系统的高可用性和高

使用率。中国建设银行启动的基于ITIL流程建设服务管理体系第一代完成覆盖全行的事件、问题和变更流程，建立初步的知识库系统：第二代在优化完善现有流程的基础上，建设配置管理数据库、发布、资产和服务水平管理流程：第三代不断完善ITIL流程，全面提高其IT服务管理质量，确保业务支撑系统安全运行，以上做法可予以借鉴。

(二)加强银行风险管理系统建设，高度重视银行IT外包风险管理

1将IT外包风险纳入全面风险管理范围。由IT和风险专家组成专门管理机构或组织，定期召开例会，及时通报IT外包服务过程中遇到的各种问题和潜在风险，发现比较大风险隐患时，向上一级风险管理机构汇报，以便采取及时有效的防范措施。同时提取必要的风险准备，应对不可预料的IT外包服务风险发生。、

2充分评估IT外包风险。确定哪些外包风险可接受、哪些不能接受需尽快改进的，以此评估外包项目如何支持银行的IT战略和银行的战略目标及可能发生的风险，制定有效风险管理策略。其中IT外包风险评估过程应充分考虑核心业务处理系统的外包风险，具体包括系统的安全、有效和反应及时性、系统和资源的完整可靠、管理信息规则的一致性等方面所遇到的威胁，同时注意IT技术的系统结构、设计及控制方面的功能可能面临的各种风险。

3全面管理IT外包风险，严格监控IT外包风险。采取不同的风险处置方法降低风险，如选择合适的服务商，制定详细而全面的外包合同等。监控外包风险，应用定性和定量方法监控IT外包风险的暴露，保证足够的控制手段和体系发挥作用：分析控制风险的环境，检测实施控制手段的效率，保证业务以可控的方式运行。在IT外包合同执行期间，高度重视对服务商的持续有效的监督，成立包括IT、风险、审计和战略专家等组成的监管组，定期和不定期地进行有效监管，监控服务商的财务经营状况、服务质量和技术支持水平、内部关键人员(尤其是服务商高层、关键技术人员)的变动情况；监控服务商合同履行、应急方案演练、把服务再次分包的情况等，并及时报告IT外包风险，以采取相应措施控制风险。

(三)从研发到运行维护和数据集中层层把关，防范IT系统风险

面对系统研发过程中存在的风险隐患，建议对于银行重要业务系统的开发工作，成立特殊项目组，由所有业务部门主管分别出任项目组组长，行长任项目整体组长。自业务系统立项研发始就让业务部门参与，避免IT系统的最终使用者业务人员日后的系统操作风险。同时由于银行实施数据大集中时，需要确保其所建设的机房、网络等相关外围设备安全可靠，对数据集中后所涉及的信息系统及数据库的运行维护不能因一时疏忽而发生危险，防范数据丢失，防止不法之徒、病毒、黑客等攻击存储有资金和客户资料等重要信息业务系统和数据中心等，需要有完备的门禁系统、严格的权限控制等系列管理措施作保障。此外目前信息系统的业务处理部分由手工完成对银行的内控制度、授权机制提出了更高要求，如针对系统运转各环节、对系统设计、运行和管理漏洞都了如指掌的人员恶意盗取资金对系统正常运行造成威胁等现象，有必要构建一个严密的管理系统保证IT系统免受侵害。建议银行实行“统一规划、统一选型、统一开发、统一标准、统一采购、统一调配资源、统一管理和使用”的原则，对信息系统软硬件资源合理控制，及时采用打补丁的方法填补操作系统的漏洞，配备专职人员加强系统资源、访问权限管理。在对数据库完整、可用和保密性管理方面，严格按照软件开发规范进行整体与详细方案设计及最后项目的实施，引用密码、身份鉴别、用机管理、多级授权等安全机制，限制对信息数据的修改与访问，开发与生产环境严格分离：在系统安全管理方面，将网络、系统管理员、维护及开发人员明确分工，设置不同的访问权限，严格控制用户的创建、变更、删除、用户口令的长度、时效：对IT系统的接入建立适当的授权程序，对接人后的操作进行安全控制。数据输入IT系统应核对无误，数据修改应经过批准。并建立各类满足内外部审计需要的日志。通过以上管控对策，防范IT系统风险。