文|曹向东

区域网格化式检查推进邮储银行信息科技风险防控

文|曹向东

随着邮储银行体制结构的不断深化改革，在面对竞争日益加剧的经济金融环境下，邮储银行充分发挥覆盖城乡的网络优势，以打造小而精的发展思路，走低成本、差异化经营之路，不断提高市场竞争优势，其中包括以信息化建设为业务发展提供支柱的内部管理模式，并已实现了以客户为中心、以会计处理为核心、以八大平台为系统的新一代邮政金融信息系统应用架构。信息科技能力在得到不断提升的同时，科技风险也已成为邮储银行内部风险防控的重点关注区域，2014年邮储银行建立了科技风险百项检查内容，通过对全国36家分行按照经济带区域划分为东部、中部、西部三个检查单元网格，以总行信息科技管理人员带头，各划分区域信息系统维护人员共同参与，按照三个划分区域单元网格业务、技术力量强弱进行划分，分别从区域单元网格中挑取三个省份作为被检查对象，同时，检查组各省参与成员同样按照划分区域技术力量强弱，进行省间人员组合搭配，进行跨区域分省检查的方法，对各省信息科技从系统、网络、数据、基础设施、安全管理五个方面进行检查。本文就该种检查方式谈几点体会和看法。

以区域网格化式检查促进邮储银行信息科技风险防控的能力

银行是经营风险的金融机构，风险无处不在，从事银行工作不可能回避风险，在如今银行经营与信息化程度的粘合度不断日益紧密的情况下，如何做到有效管理、识别、判断和控制信息科技风险，对保障业务健康发展，提升利润能力，从而实现经营管理效益的最大化起到了“加油站”的作用。目前，邮储银行三年的起步阶段已经过去，监管部门留给我们的政策空间与时间所剩无几，在《中华人民共和国商业银行法》的统一框架下，银监部门将严格按照大型商业银行的标准要求邮储银行，全行以监管要求为指标、完善内控机制、提高风险管理能力的任务已迫在眉睫。自2010年以来，邮储银行青海省分行分别接受了监管部门、公安等各类有关信息科技风险的检查，对我行信息科技风险管理、内部控制、审计监督等工作提出了明确要求。我行也借“合规管理年”活动和“业务行为规范年”活动的氛围，加强了对信息科技风险的管理意识，组织部门内进行了多次自查工作，但信息科技风险防控涉及面广、内容较为详细，检查内容和方式方法存在一定难度，总行抽调全行科技、风险条线专家，并结合业内先进做法，梳理了适合我行信息科技风险检查的百项内容，为了能够通过现场检查的方式，有效起到互相交流、扬长避短、及时发现、及时整改的效力，总行采取了区域网格化的检查方式，这种按照经济区域划分的网格式检查具有以下优点。

一是促进了先进经验的交流，对西部地区以及风险防控能力薄弱的地方起到了相互交流和相互指导的作用；

二是积极推动了信息科技风险防控工作，树立了信息科技风险的权威性，赢得全行对信息科技风险管理工作的支持与遵从。

三是因地制宜，完善了差异化风险管理机制。通过按照百项检查内容的规范、简明适用的原则，结合各行发展实际，以实事求是进行问题分析，从源头管控风险。

四是加强了信息科技风险防控队伍的建设，通过抽调各省信息科技运维人员，因为运维人员是直接接触系统的人员，作为风险防控的第一人，把合适的人放在合适的岗位，不断壮大风险管理队伍，实现风险管理窗口的前移。

五是通过检查加强了教育，提高了员工综合业务素质，通过互查、自查、培训、交流等各种方式，提高风险防控综合业务素质，增强全面风险管理能力。

六是结合自身实际，完善了风险管理机制。在按照法律法规和商业银行内部控制等指引的要求下，结合我行自身实际情况，梳理出来的百项检查内容，夯实了风险管理的基础，提高了制度流程的执行力，推进邮储银行的改革发展与转型。

七是通过检查，提高了系统建设的风险管理水平。通过此类检查，了解各省信息科技需求和风险防控存在的问题，在搭建信息系统时，为风险防控提供了有力的资料，从而实现从源头控制风险的目的。

以区域网格化式检查推进邮储银行信息科技改革发展

以区域网格化式检查满足邮储银行信息科技发展需求

随着中央对金融体制改革的不断深化，以前国际上商业银行倒闭的事例现如今在中国经济市场上也将有可能发生，邮储银行作为一家成立不久的银行，业务发展迅猛，在面临如今商业银行风险日益呈现出多样化和复杂化趋势的情况下，传统的思维模式和企业管理习惯已难以适应新形势的要求，并且商业银行风险所造成的损失也往往不再是由单一风险所造成，而是由各种风险交错叠加而成，其影响程度和辐射面是广泛严重的，其中信息科技风险所固有的隐蔽性高、专业性强、爆发的偶然性等特点，使得在防控信息科技风险的工作上加大了难度，因此我们就不能仅仅停留在以操作风险、信用风险、市场风险等单一业务条线的风险所造成的损失上，而是将各种业务条线的各种风险交织进行管理，以主动合规、主动识别、主动控制风险为目标，形成包括以信息科技风险在内的全面风险管理工作的良好局面。以区域网格化式检查信息科技风险，正是邮储银行通过对信息化现状的分析，提出的科学防控信息科技风险的方法，从而通过建立百项内容检查以符合银行业监管机构要求的信息安全体系。

邮储银行目前正面临改革与转型的关键时期，信息科技风险防控作为全面风险防控工作的重要组成部分，需要用更加科学、更加健全、并且适合自身实际的制度和方式方法，以此来探索出一条即符合监管要求的需要，又满足适合自身健康发展需要的风险防控道路，最终支撑邮储银行实现向全功能大型零售商业银行的转型，全方位提升邮储银行业务的核心竞争力。

（中国社会科学院研究生院）

推行全面风险管理是邮储银行满足监管要求的需要，也是邮储银行改革与转型的需要。邮储银行要完成股份制改革、实现向全功能商业银行的转型，就必须严格按照法律法规和监管指引的要求，搭建全面风险管理体系，提升风险管理能力，实现各类监管指标的达标。信息科技风险管理作为全面风险管理的一部分，其具有专业性强、隐蔽性错杂、影响力较大等特点，以区域网格化式推进信息科技风险防控工作，就要做到以下几点。

一是做到意识到位。信息科技险管理不单是风险合规部和审计部的事，更是各专业条线部门与全体员工的工作，目前，信息科技风险意识不到位依旧是束缚我行风险管理能力的主要内在因素，需要我们以风险合规部为依托，开展专业条线风险检查工作。通过广泛的宣导、日常的检查、密集的培训和充分的警示教育，增强风险意识，改变传统习惯。

二是做到机制到位。健全的工作机制是做好信息科技风险管理工作的前提和保证。银行成立以来，在总行的正确领导和指引下，我们虽然相继建立了信息科技风险管理委员会工作机制、信息科技风险联络员工作机制、信息科技安全管理人员等管理机制，并在工作中取得成效，但在信息系统操作、管理和标准上与商业银行还存在一定差距，逐步建立风险防控为主，以规范行为为目的管理制度，是有效提高信息科技风险管理能力的重要途径。

三是做到制度到位。完善的制度是做好信息科技风险管理工作的根本保障。只有将风险防控检查引入制度，逐步实现检查制度流程化、检查内容全面覆盖，才能有效起到各类信息科技风险的防控作用。

四是做到专业队伍到位。风险防控工作对人才的专业性和能力程度要求很高，尤其信息科技条线的风险防控工作，充实并组建信息科技专业风险管理团队，是实现风险管理的专业化与系统化的前提。

五是做到整改到位。目前，操作风险与合规风险是信息科技的主要风险，通过区域网格式检查风险管理的成果很大程度上体现于整改落实的效果，所以检查所发现问题整改落实活动，是有效推进信息科技风险管理的助力器。