推薦閱讀
聯系我們

 

行業資訊
當前位置:行業資訊

金融行業IT風險管理分析

來源:http://www.sina.com.cn 時間:2011-12-08 14:58

http://www.sina.com.cn 2008年02月18日 00:09  比特網ChinaByte
 

      金融行業是IT系統高度密集行業,信息化程度較高,因為事關國計民生,也承擔了相應的高風險。中國的金融服務業正處于飛速發展階段,但在高速發展的同時也面臨著風險管理和法規遵從方面的壓力。銀監會將在2008年底發布巴塞爾 II協議實施監管法規,2010年,中國的大型商業銀行將開始執行巴塞爾 II協議,最遲不得晚于2013年。

      中國金融服務企業隨著規模和業務品種的擴大以及分支機構的增加,風險管理和法規遵從變得更加重要,但同時更加困難,因此企業必須從企業整體角度出發,完整地看待風險管理和法規遵從,制定并實施長遠規劃,對風險管理和法規遵從進行戰略性投資(如:長遠的IT架構以及非部門級和非單點式解決方案)。

  一、金融風險與信息技術風險

      起始于20世紀80年代后期的金融電子化浪潮發展到今天已經有近30年的時間。30年來,從單一記賬系統發展為以銀行核心綜合業務系統為核心,涵蓋了渠道流程管理、產品管理與交付、客戶價值管理、知識管理、風險與審計控制、全方位的銀行IT體系,跨越了整個銀行業務價值鏈;從單純的集中式柜臺交易錄入到實現所有渠道的整合,集互聯網、移動平臺、自助服務為一體的綜合渠道交付體系;從面向銀行內部交易系統發展為面對客戶、可訂制的、結合各種渠道流程定義的客戶服務交付平臺,信息技術對銀行業的發展功不可沒、成績斐然。可以說,沒有IT,沒有IT的支撐,就沒有現代銀行業。

      然而,同世界上所有的事物一樣,相生必然相克。IT在極大地促進了銀行業的發展,為銀行業提供了巨大發展機會的同時也使銀行業面對巨大的技術風險。港澳及海外金融市場因為IT失效引起的銀行損失案例比比皆是、層出不窮。在香港市場,每年公開報道的金融機構因為IT故障嚴重影響業務和客戶的事件平均超過數十起,有些故障造成了巨大損失,對上市銀行的商譽及市值造成巨大沖擊。據業界估計,發生在非核心系統、非渠道上的故障次數可能要多得多。只是因為問題短暫,或者尚未對客戶構成太大的影響而沒在媒體公開披露出來而已。中國銀行業也不例外。每年公開報道的、給客戶造成重大影響的金融IT失效事件就達幾十起之多。

      可以預見,隨著銀行電子化程度的提高,信息化的深入,IT失效對金融業造成的威脅將會越來越大。

      傳統上,銀行面對的風險大致分為四大類,分別是

      市場風險:主要是指金融市場產品的價格和利率的變化而使得銀行敞口的價值降低風險。

      信用風險:主要是指在金融市場內,由于銀行交易對手的信用狀況的變化而導致銀行敞口價值降低的風險。

      流動性風險:主要是指資產無法變現或者變現價值導致資產損失風險。可以分為兩類:外生流動性風險和內生流動性風險。

      操作風險:按照國際清算銀行制訂的《新Basel資本協議》的定義,銀行操作風險是指由于銀行內部流程、人員和系統不適當或者失效而造成銀行直接或者間接損失風險。包括法律和監管風險。從流程上說,銀行IT屬于內部流程,因而IT風險歸為操作風險。

      因為信息技術風險的影響越來越大,美國OCC要求銀行每年都要進行一次URSIT(Uniform Rating System for Information Technology)內部評級。從管理、獲取與部署、交付與支持以及審計這4個角度對銀行IT體系的規劃與組織、互聯網與內聯網、企業解決方案、C/S架構、群組軟件以及網絡管理等環節做出評價。

      Basel銀行監督委員會把IT風險歸為銀行操作風險的一部分。但這不意味著銀行IT風險不重要,也不意味著IT風險因素無足輕重。相反,Basel銀行監督委員會早在1998年就從監管的角度提出了電子銀行風險管理原則,2003年做出了新的修訂。在這份文件中,Basel銀行監督委員會指出電子銀行面臨著4大挑戰:

      技術的高速發展和對客服務上的創新

      新的網上零售和批發銀行業務直接進行金融交易,而電子交易依賴于原有的核心系統

      電子銀行增加了銀行對IT的依賴

      互聯網無處不在

      同時,分別從董事會和管理層的監控、安全控制以及法律和信譽風險的管理這三個層面提出了管理電子銀行風險的14條基本原則:

      (1) 對電子銀行活動進行有效監控

      (2) 建立全面的安全控制流程

      (3) 對外包服務和第三方依賴實施全面的盡職與管理監控流程

      (4) 電子銀行客戶鑒別

      (5) 電子銀行交易的不可否認和不可抵賴

      (6) 保證職責分隔(SOD)原則得到貫徹實施

      (7) 電子銀行系統/數據庫/應用的授權控制

      (8) 電子銀行交易/記錄/信息數據的完整性

      (9) 對電子銀行交易建立明晰的稽核記錄

      (10) 重要銀行信息的保密性

      (11) 電子銀行服務適當的信息披露

      (12) 客戶信息的保護

      (13) 處理能力/業務連續性/意外事故規劃,保證電子銀行系統與服務的可用性

      (14) 事件響應規劃

      然而,盡管很大程度上電子銀行面臨的風險銀行IT都需要面對,電子銀行的風險狀況多少反映銀行自身業務與IT體系的風險狀況。但是,從根本上說電子銀行風險只是銀行IT風險的一個子集。其復雜性比整個銀行面對的IT風險要小得多。上述的14項要求也只是從銀行外部監管的角度出發提出的控制目標要求。

      事實上,銀行IT風險敞口的形式非常多。比較常見的有:

      系統宕機,服務中斷

      系統響應時間過長

      處理流程或者計算錯誤,比如計息錯誤

      數據不準確,比如對賬錯誤

      客戶信息泄露,比如被盜

      數據記錄不完整或不正確

      客戶賬戶資料或者客戶身份ID被冒用

      自動電子渠道遭受攻擊,比如黑客入侵、拒絕服務攻擊、電話渠道攻擊

      病毒

      自然災害帶來的設備、數據的毀損、服務中斷

      這些信息技術風險敞口形式非常龐雜,產生這些風險的起因也多種多樣。現代銀行的產品和服務都需要經歷很多的系統和流程,需要很多的人員一起協同努力才能交付。因此,為銀行產品和服務提供技術支持手段的IT也非常復雜。另外一項因素是風險后果同風險起因非唯一對稱性。即一種風險后果可能有很多種的風險起因造成。反過來,一種風險起因也可能會產生多種不同的風險后果。因此,試圖枚舉所有的風險因素和后果,找出其中的必然關聯與特征是非常困難的,即使可行工作量也是驚人的。

      為了更有效地應對銀行信息技術風險,就必須在使銀行具備信息技術風險管理能力的前提下,學會使用綜合性的風險管理的方法。共2頁。

      二、金融信息技術風險的管理

      現在,我們從一個典型而簡單的IT項目實例來說明跨越整個IT產品和服務的生命周期、采用綜合性方法來應對IT風險的必要性。

      按照傳統的項目管理方法,一個IT項目的獲取、開發和實施過程中的風險點如圖1所示。

  

 

 

      我們可以很容易地發現,基于傳統的項目風險管理的觀點來管理項目風險是遠遠不夠的。因為,我們面對的過程風險其實復雜得多,如圖2所示。

      造成兩者復雜性差異的真正原因在哪兒呢?

      真正的原因來源于信息系統(IS)學科本身。從IS的角度上看,可以清楚地分成兩個領域:一是信息系統的開發,另一個則是信息系統的運行。因此,同信息系統關聯的風險也自然地分成兩個領域,從信息系統專業角度對其風險的管理也是分離的。這種專業上的分工對企業的IT治理結構帶來根本性的影響,現在很多的金融機構把IT分成開發和運行兩大塊也源于此。銀行高級管理層的決策更多地是關注新產品、新項目的開發。而IT運營方面除非出現了重大的問題,否則高級管理層極少觸及。因此,對高級管理層而言,IT運營風險相對于其它風險來說要疏遠得多。

  

 

 

      圖2 跨越產品/服務生命周期的風險因素

      從商業角度上說,企業對IT的投資同其它的投入沒什么本質的區別。其動機無外乎兩個,一是獲得競爭優勢,二是最終獲得經濟回報。對高級管理層而言,做出投資決策一般應該考慮三個因素:

      生命期總費用( Total Lifecycle Cost)

      生命期總效益( Total Lifecycle Benefits)

      生命期總體風險( Total Lifecycle Risks)

      因為IS專業的理由把對IT的投入割裂成兩個部分顯然并不利于綜合考慮IT產品和服務的上述三個因素,也不利于在整個IT產品和服務的生命期內靈活地投入調整。

      面對日益復雜的IT風險敞口形式,面對日益復雜的IT環境,僅僅依靠傳統上的風險管理方法是遠遠不夠的。因為:

      每一種IT風險敞口形式的起因和結果都很復雜

      很多敞口形式的起因和結果是交叉,也有一些會發生自組合產生更復雜的風險后果

      每一類IT風險敞口形式之間互相關聯

      因此,我們在這兒愿意重溫一下本書的基本觀點:

      企業需要建立其IT與IT風險治理架構

      企業需要找到一位領導者,來統管IT與IT風險治理架構

      企業需要通過事先設計的組合管理方法來綜合性地應對IT風險

      企業需要通過對IT進行分類管理來降低復雜性

      然而,我們還要指出:風險管理的本質與最終目標是塑造具備良好風險管理意識的企業文化。這才是一個具有優秀信息技術能力的、創新型與學習型企業所應該具備基本特征。

      三、可能存在的幾個誤區

      在IT與IT風險管理方面,可能還存在一些認識上的誤區:

      1. 認為在IT發展水平不高的情況下,信息技術風險所造成的威脅也不大

      2. 信息技術風險基本上是小概率事件,因此可以認為不會發生

      3. 建立質量最好的IT基礎設施就可以防范風險

      IT基礎設施風險是最受到關注的風險。然而,基礎設施風險僅僅是信息技術風險組合的一個方面。我們對IT基礎設施風險定位也存在很多的誤區。比較突出的就是認為IT基礎設施代表著銀行IT的一切,把基礎設施搞好了,IT也就可以高枕無憂了。

      這種認知本身就會帶來巨大風險。

      建立冗余資源備份確實是應對IT基礎設施風險的一項基本策略。比如,災備系統、后備中心、通訊鏈路冗余等等。但是,應當認識到資源的冗余僅僅是答案的一小部分。更需要關注的還有評估與演練。而最重要的則是IT基礎設施必須同銀行的風險承受能力、風險偏好相匹配。

      事實上,從技術上說,任何一種備份方案都無法消除系統的所有單點失效。更何況即便找到了一套完全消除單點失效的方案仍然無法消除基礎設施的風險。因為,雙系統的失效概率盡管比單系統要低得多,但永遠也無法降到為零的程度。

      因此,正確地認識和看待冗余備份資源,更好地評估基礎設施中各分系統、分系統間的失效威脅及其影響;制定切實可行的切換、替代方案;扎實做好方案的演練與測試;根據測試和演練結果進一步優化并持續改進IT基礎設施的風險抵御能力,提高銀行的整體抗信息技術風險能力才是解決基礎設施風險的萬全之策。

      4. 全面推行COBIT、URSIT認證與審計,就可以應對信息技術風險

      COBIT和URSIT提出了比較全面的機構IT控制目標與流程體系,幾乎考慮機構IT的所有方面,其權威性毋庸置疑。

      然而,由于它們的復雜性,全面推行是非常困難的。因此,大多數機構都是以此為基礎進行適當的裁減。而最大的困難正是來自于這個過程,因為這需要對機構自身,對IT架構,對管理體制,對流程與控制的透徹了解。而這同樣是非常困難的。

      四、幾項建議

      面對幾乎無處不在的信息技術風險威脅,我們無法逃避,我們必須面對挑戰:

      信息技術風險是原生的和固有的

      信息技術風險將為我們帶來新的威脅

      我們只有很少的信息技術風險經驗,沒有成熟的IT風險模型,更談不上對IT風險進行度量。因此,我們需要用理性的、實事求是的、現實的態度來面對、防范并化解信息技術風險。

      我們同樣也充滿著機會:

      盡管我們永遠無法消除信息技術風險,但我們可以盡量避免信息技術風險,也可以通過不懈努力把損失降至最低

      除了建立科學的治理架構和完整的信息技術風險管理體系之外,我們別無選擇

      1. 建立對機構信息技術風險負責的相應組織與架構

      2. 強化產品投產流程,系統與產品推出之前應進行詳細的風險分析,準備好應對措施

      3. 現在開始著手調查、收集、分析同IT失效有關的風險損失、模式及相關性,為未來的信息技術風險建模與度量做好技術準備

      4. 培養員工的信息技術風險意識,建立與之適應的企業文化共2頁。

 
必胜国际娱乐城怎么赢