城市商业银行的信息化风险问题
来源:中国计算机报 更新时间:2012-04-14
 目前,城市商业银行保持着快速增长势头,但是也面临很多挑战。这些挑战迫使城市商业银行必须尽快提升自己的竞争力,而相对较低的信息化发展水平正是其主要的制约因素。重重压力之下要加快信息系统建设,不可避免地给城市商业银行信息系统带来一系列风险问题。城市商业银行的信息系统监管正面临众多的挑战。

  经过10年的发展,目前城市商业银行整体保持着快速的增长势头,但也面临很多挑战,包括资本充足率的要求、资产质量的历史包袱、经营地域的限制以及来自同行的激烈竞争等。预计随着外资入股和区域联合的进程,城市商业银行将迅速分化融合,优质城市商业银行发展的速度还会加快,而一些救助无望的城市商业银行甚至有可能会退出市场。

  这些挑战迫使城市商业银行必须尽快提升自己的竞争能力,而相对较低的信息化发展水平正是其主要制约因素。目前城市商业银行的信息化水平与四大国有银行以及股份制城市商业银行相比还相对薄弱,而且呈现两极分化的态势。城市商业银行信息化技术和人才积累相对于高速发展的业务明显不足;信息化过程基本上还处于被动适应状态,对业务需求的响应速度比较慢。重重压力之下要加快信息系统建设,不可避免地给城市商业银行信息系统带来一系列风险问题。

  按照巴塞尔委员会的建议,信息系统的风险主要包括:不适当的信息披露、差错、欺诈、因硬件软件问题造成的营业中断、不切实际的规划和与计算机终端操作错误相关联的风险。同时巴塞尔委员会还给出了电子银行和电子货币业务的主要风险:操作风险、声誉风险、法律风险、其他传统风险、跨国问题。

  结合我国城市商业银行信息化发展的现状,经研究发现,目前城市商业银行的信息系统风险主要体现在:欺诈、因硬件或软件问题造成的营业中断、不切实际的规划、电子银行和电子货币业务的操作风险这几个方面。

  风险在哪里

  巴塞尔银行监管委员会对这几种风险给出的解释是:

  欺诈 商业银行的数据交流代表着资产或者转移资产的信息。通过电子支付与信息转换系统转移资产的速度成为内部控制的一个新难题。欺诈行为不仅会给商业银行本身带来损失,而且经媒体报道后还会削弱人们对该机构的信心。获取计算机记录的途径有多种,例如:输入未经授权的交易;趁例行系统开发或维护之机未经授权变动程序,自动生成虚假交易,省略对选定账户的控制审核或消除某些交易的纪录;利用特殊程序对电脑记录进行未经授权的更改,以逃避计算机系统内置的正常控制与审计监督;可以将文件从一台计算机中移出,利用其他机器输入虚假的交易或账目加以修改,然后再移回原计算机进行处理;在通过电讯网络进行转移过程中,以欺诈手段输入、截取或修改交易。

  硬件或软件问题造成的营业中断 计算机系统由大量的设备与软件共同构成,任何一部分出现问题均可能使整个系统陷入瘫痪。这些设备通常会集中在一个或数个地点,从而增加了发生意外的可能行。当计算机系统失灵时,对于银行向客户提供实时服务的损害会立即显现并迅速扩大,处理过程中的积压负担会迅速增加。如果营业中断达到几个小时,那么可能至少需要几天才能清理完毕。一次严重系统中断的最终成本,将会大大超过损坏设备、数据或软件的更新成本。
  不切实际的规划 有效的规划是一个关键的因素。银行的效率和服务质量已完全依赖于计算机系统。在规划或开发信息系统时的任何失败都可能产生严重的商业后果。如果不能迅速地实施新系统或提供新的服务,与竞争者相比,银行会处于非常不利的地位。但是,另一方面,特别是当获益不大时,不惜成本追求自动化又往往会付出更昂贵的代价。

  电子银行和电子货币业务的操作风险 操作风险是系统可靠性和协调性方面存在严重缺陷而产生损失的可能行。安全性考虑是首要的,因为银行系统的系统或产品可能会受到外来或内部的攻击。风险主要来源于三个方面:一、安全性风险;二、系统设计、运作和维护风险;三、客户操作不当风险。

  管好也不易

  针对巴塞尔银行监管委员会给出的解释,城市商业银行的信息系统监管正面临很多挑战。

  内部控制相当不完善 限于资金投入和人员投入的不足,很多中小城市商业银行为了信息系统使用管理的方便,对内部管理人员的操作权限管理、财务控制核对、事后监督、档案管理方面的投入都很不够。同时由于内部技术力量相对不足,系统建设主要靠外包,内部人员仅做一些系统维护和协助确定需求的工作,对系统供应商的依赖性很强。相应地对系统合作开发方的审查能力和约束力度还都达不到要求,增大了欺诈风险。

  应急机制和灾难备份建设跟不上发展 目前各城市商业银行对业务系统和一般的数据库系统都建立了应急机制和备份措施,基本能保证一定级别的数据安全。但是易观国际的调查数据显示,目前城市商业银行中还没有建立自己的灾难备份中心,大多数只是做到同城备份。

  系统建设缺乏规划,安全系统投入不够,同时还存在业务系统重复建设的现象 因为历史沿革和整个经营效益的原因,城商行的系统先天比较弱小,对安全系统的投入跟不上,造成现在信息安全面临严重风险的局面。同时由于信息化建设体系化不强,系统之间的耦合度和代码复用率相对较低,这样在竞争中就容易陷入不利境地,增大经营风险。

  目前城市商业银行电子银行业务和电子货币业务发展远远落后于四大国有银行和股份制商业银行,在安全性和系统设计、运作、维护以及提醒客户的不当操作方面还须做出很大努力。

  策略是关键

  根据信息系统在城市商业银行的应用情况和风险控制的现状,建议从以下几方面做好工作:

  完善城市商业银行信息系统风险控制制度的建设 具体来说:一、根据监管部门的要求,借鉴国内外比较成熟的经验,制定计算机人员的岗位职责、计算机应用系统管理制度、密码管理制度、资料管理
制度、计算机管理制度、业务准则以及操作程序等制度。尤其是有外资参股的城市商业银行,要充分借鉴和吸收外资银行方的风险监管经验。二、在银行安全和灾难备份建设方面加大投入。方式可以灵活多样,可以考虑租用其他行的设备和服务,也可以考虑外包出去或多家联盟共建的方式。三、重视IT系统的战略规划,设立全行的IT规划与战略研究机构,并引入IT咨询。改变过去单点考虑易造成重复建设的解决方案开发模式,改为整体考虑应用系统体系生命周期、网络安全、风险管理等关键技术问题。

  充分认识信息系统的风险,将其纳入到整个银行的风险监管体系中 当前信息系统已渗透到金融业务的各个方面,而且还在不断深化,但同时出现的风险也越来越大。因此,在对其他风险加强监控的同时,也要对信息系统的风险予以充分重视。同时,不能割裂监管信息系统的风险,要形成一个整体的银行风险管理体系,囊括信用风险以及其他银行核心风险。

  充分发挥监督部门和人员的作用 城市商业银行的内部稽核部门一定要将对信息系统的监督作为其工作的重要内容。同时,还要求外部审计人员的支持。需要强调监督检查人员必须是独立的,不能既是应用操作人员又是监督人员,只有这样才能保证监督的有效性。

  2004年到2009年,预计城市商业银行网络安全硬件投入年均复合增长率(CAGR)为14.1%,网络安全软件年均复合增长率(CAGR)达到18.5%,网络安全服务年均复合增长率(CAGR)达到25.3%。2005年网络安全的增长率达到峰值。网络安全市场整体呈现增速减缓的趋势。尤其是硬件部分由于基数大,增长速度更加缓慢。城市商业银行网络安全市场的增长主要来源于其中部分生存能力强的银行进行业务多元化和地域的扩大所带来的网络安全需求。