本站原创【摘 要】信息科技风险已经成为金融行业面临的重要风险之一.国内外研究者对金融行业信息科技风险进行了深入的研究.本文首先对国内外有关文献进行回顾,并以此为基础对国内外的研究成果进行了进一步的对比分析.
【关 键 词 】信息科技风险;金融信息化;风险管控
1.引言
金融信息化指在金融领域全面发展和应用现代信息技术,以创新智能技术工具更新改造和装备金融业,使金融活动的结构框架重心从物理性空间向信息性空间转变的过程.简而言之,金融信息化就是指将现代信息技术应用于金融领域的过程.随着金融信息化向纵深方向发展,信息安全已成为全球金融机构所面临的重要风险之一.当前金融机构面临的主要信息科技风险包括缺乏有效的信息科技风险管理战略、信息科技治理结构还不够完善、高级管理层重视不够、信息安全管理工作更多强调技术层面以及合规风险.
中国的金融机构都制定了业务发展战略,但缺乏与业务发展战略相一致的信息科技发展战略,也缺乏信息科技风险战略,以指导信息科技风险管控工作.金融机构内部大多数部门都认为信息科技工作是信息科技部门的事情,同样信息科技风险管理也只是信息科技部门的责任,导致了信息科技治理结构不够完善,信息科技风险管理缺乏业务、风险管理、内部审计部门的有效支持.高级管理层在“口头上”都很重视,但高级管理层很少履行切实的承诺,在资金上给与足够的支持.更多金融机构注重从技术层面加强边界保护,而很少从流程、技术、人员三个不可分离的层面从事信息安全管理工作.由于当前在信息科技风险管控方面不能够满足外部监管机构的要求,从而给金融机构带来合规风险.即使金融机构应结合自身业务发展战略,在对信息科技风险评估的基础上,借鉴先进金融机构的良好做法和国际标准基础上,制定出与业务发展目标保持一致的信息科技风险管理战略.加强信息科技风险治理结构建设,设计出包括高级管理层、业务部门、信息科技部门、风险管理部门、审计和合规部门在内的信息科技风险治理架构,以满足信息科技风险管理对治理结构的要求.从业务需求出发,从人员、技术和流程三个角度加强信息科技风险管控程序建设,逐步提高信息科技风险管控能力,满足外部监管要求.还要持续地加强高级管理层、管理层以及一般人员,并包括合作伙伴等人员的信息安全意识教育和培训.
鉴于实业界对金融信息化风险的高度重视,本文从金融信息化风险概念、分类和管控方法等方面对现有文献中的相关理论进行回顾,并对国内外的研究现状进行进一步的对比分析.
2.金融信息化风险的内涵和分类
2.1 金融信息化风险的概念
金融信息化风险是信息科技在商业银行运用过程中,由于自然因素、人为因素、技术漏洞和管理缺陷产生的操作、法律和声誉等风险.信息科技风险不是一种新的风险类型,而是一种系数型风险,其风险就在于随着信息科技对银行经营与管理的不断渗透,会使已存在的交易、战略、法律、信誉等风险扩大化.金融信息化风险是金融企业风险之一.
2.2 金融信息化风险的来源
金融机构信息系统风险的主要挑战来自于基础技术的复杂性和多变性.具体而言,金融机构信息技术的复杂多变通过以下几种渠道可能导致风险的产生.
(1)电子商业银行的技术创新和客户怎么写作变革的速度比传统的创新更快,例如在新技术和新业务的推出时间周期大大缩短,因此很难预测客户的需求.客户需求波动与怎么写作能力的不一致给商业银行带来了资源浪费或损失顾客的风险.(2)在线上交易中,Web站点要与金融机构后台核心业务系统互联互通.因此,信息系统的架构设计必须较为合理,在操作性和可用性上有良好的体验.对技术的依赖程度增加使得风险更为集中,风险的管控要求更高的技术素养、知识和能力.(3)网络银行与传统银行采用了不同的怎么写作模式,其价值链中引入更多合作伙伴、合作联盟和外包怎么写作商,从而增强了网络银行的操作和安全复杂性.新的怎么写作模式融入了金融机构和非金融机构,但这些非金融机构并不在金融业的监管之列,使得技术风险监管产生了许多复杂的问题,在出现故障或发生问题时,很难界定各自的责任.(4)互联网本身无所不在的特性,使信息访问的各个环节都很难控制,一系列相应技术的应用,如授权管理、客户身份确认技术、信息等级管理制度、稽核跟踪技术等,使得金融机构必须投入更多资源才能确保对信息访问的严格控制,从而在无形中提高了事故发生的可能性.(5)随着移动互联网在商业银行信息系统中的应用(如无线POS、移动银行等),在实现将移动互联网与现有的网络平台互联时,信息更容易受到攻击.(6)伴随着我国各金融机构数据大集中的开展,商业银行各种技术风险也相应集中,对数据大集中的稳定性、高效性和可靠性提出了更高的要求.
2.3 金融信息化风险的分类
按照产生来源,金融机构的信息化风险可划分为内部风险和外部风险.
(1)内部风险
内部风险是信息化风险的主要来源,IDC的报告显示,只有30%的安全损失是由企业外部原因造成的.CIA(情报局)和FBI(联邦调查局)的数据也表明,超过85%的安全威胁来自企业内部,威胁源包括内部操作不当、未授权的存取、专利信息被窃取、内部腐败、内部人员的财务欺骗等.
1)信息安全风险.金融机构数据库管理系统漏洞,可能引起数据损坏或丢失、系统被攻击或应用系统无法正常运行,或导致信息系统数据处理错误、内控措施失效或数据安全性受损等信息安全问题.2)金融机构核心业务系统风险.商业银行第二代核心业务系统包括信贷、柜台、账务、管理等模块;第三代核心业务系统则涵盖了客户关系管理、风险管理、市场营销分析等模块;第四代核心业务系统正在建设中,更强调数据共享和SOA架构(Service Oriented Architecture,面向怎么写作的架构),更注重业务流程与信息流程的协调.核心系统一旦出现漏洞或故障,则可能带来银行怎么写作能力丧失的巨大风险.3)基础信息技术风险.诸如硬件设备的安全漏洞;应用软件怎么写作系统可能遭到侵害的风险;网络技术方案选择不当;信息传输失真;网络信息被篡改、截取或损害;软件运行故障;信息系统设计不合理、加密技术没有更新.4)信息技术引发的业务中断风险.因软硬件运行故障、系统超负荷运行、主干网络断开、病毒传播、人为非法操作或无意误操作,均可导致金融机构业务中断的风险.5)信息科技系统闲置引起的低效率风险.当一家金融机构业务量不足而信息科技系统规模过大,软硬件设施之间、各项设施内部配置结构不合理,以及因缺乏整体规划重复建设功能相近或相同的设施,均会造成资源闲置.6)信息孤岛效应.金融机构内部大多缺乏统一的资源数据库,现有信息系统各自运行,无法实现数据共享,使得管理层获取不同信息需进入不同系统,造成信息孤岛效应.事实上,不光各金融机构总部与分支机构信息不对称,即便是金融机构总行高管层也难以从一个系统及时获取全面信息.