银行业新课题:防范信息科技风险
来源:文汇报 更新时间:2012-04-15

 

    ■刘诗平  白洁纯
   
    中国银监会日前通报了去年以来银行业金融机构发生的5起信息科技风险事件,指出目前银行业信息科技方面存在基础建设滞后、软硬件及核心技术受制于人等问题,确定把信息科技风险纳入银行总体风险监管框架。
   
暴露银行业信息系统脆弱
   
    中国银监会副主席郭利根日前在银行业信息科技风险奥运专项自查工作部署会上,通报了去年以来银行业金融机构发生的5起信息科技风险事件。这5起事件是:2007年3月21日,交通银行因主机监控软件存在缺陷,导致业务交易阻塞,系统瘫痪近4小时,所有营业网点无法正常开展业务。
   
    2007年8月15日,中国工商银行对计算机系统进行升级,但由于没有避开业务高峰期,导致个人业务系统运行不畅,业务办理速度缓慢,部分代理证券业务受阻,在持续5个半小时后,系统才逐步恢复正常。
   
    2007年10月18日,中国建设银行股民保证金第三方存管系统出现故障,与券商的交易无法正常进行。事故持续了2个小时,在证券交易收盘后才恢复正常。
   
    2007年12月21日,招商银行因运行中心核心网络设备出现故障,造成业务无法正常进行,虽启动应急预案,但仍然中断营业近1个小时。
   
    今年1月7日,北京银行因主干专线的入户接入设备发生故障,造成在京117家支行所属网点柜台交易缓慢,业务无法正常进行,故障持续1个多小时后才得以解决。
   
    郭利根说,发生事故的这些机构,在IT技术和风险管控上属国内较先进的银行。事故的发生,充分暴露出我国银行业信息系统的脆弱性,应引起高度关注和认真反思。
   
    郭利根强调,今年是奥运年,也是我国银行业信息科技风险管控的关键之年。各银行必须从维护整个银行业安全高效、稳健运行的大局出发,全力保证信息系统的安全可靠和稳定运行。
   
信息科技建设有四大问题
   
    郭利根分析指出,去年以来一系列重大事故发生的原因,主要是目前银行业信息科技方面存在以下4方面问题:
   
    一是基础建设滞后于业务高速增长。2007年12月末,银行业金融机构总资产从2002年末的23.7万亿元增加到52.6万亿元,银行业取得了长足进步。但在基础建设上,按照国际惯例,核心业务系统主机容量使用率如超过60%,就需扩大系统容量,但国内很多银行都已超过这个指标,如工行等5大国有银行核心业务系统主机容量平均使用率为67%,个别银行核心业务系统主机容量峰值使用率甚至高达90%。
   
    二是软硬件及核心技术受制于人。目前,各银行大多数高端软硬件设备都是进口的,同时软件开发大多是外包给第三方。大量外包往往造成项目管理服务不到位,产权转移不彻底,核心技术受制于人,而且存在严重的安全隐患。
   
    三是科技治理和系统管理粗放。从2007年银监会对境内主要商业银行信息科技风险状况进行的评估结果看,有占总数48%的银行在规划部门、技术风险管理部门和审计部门三者之间的职责分工、管理流程等方面存在严重问题。在业务连续性规划、业务恢复机制、风险化解和转移措施、技术恢复方案等方面,存在明显的“短板”。
   
    四是队伍建设很不适应。随着银行信息化程度不断提高,各银行科技队伍建设面临严峻考验。特别是尖端人才的短缺,已成为制约银行信息科技建设和风险管控能力提高的重要瓶颈。
   
应加强信息科技风险管控
   
    银监会强调,把银行业信息科技风险纳入银行总体风险监管框架,切实加强制度建设和风险监控,确保银行业信息系统安全稳定,确保奥运支付安全。
   
    ——集成资源,形成信息科技风险监管合力。今后对信息科技风险的监管,在横向上,实行机构监管部门与信息科技部门联合的方式进行,努力实现机构监管与功能监管的有机结合。在纵向上,实行银监会机关与各银监局之间联动,适度集成全系统的信息科技监管资源,发挥功能监管优势。
   
    ——搞好规划,全面加强信息科技风险监管制度建设。根据银行业务快速增长、信息科技发展日新月异的新情况,加强规划论证,尽快建立一整套信息科技建设和风险监管的制度标准,做到有章可循、持续监管。目前,这些制度标准已拟定了初步方案。
   
    ——实施日常监管,开展信息科技现场检查和非现场监管。各级机构监管部门要把信息科技风险纳入银行总体风险框架,在对各银行开展现场检查和非现场监管时,必须关注其信息科技风险。
   
    银监会提出,以建立信息科技风险管理保障机制、评估和预警机制,以及建立并完善信息科技风险应急处置机制等3大机制建设为重点,切实提高银行业信息科技风险管控能力。