国内商业银行信息科技风险管理研究
摘要
目前,信息科技已成为商业银行实现管理、经营、创新的基础平台,随着金融信息技术化程度的日益提高,商业银行对信息科技的依赖度显著增强。然而,信息科技向金融业务的深入渗透在加速实现银行经营效率和收益的同时,其中潜在的信息科技风险也呈逐步扩大趋势。特别近几年来,金融系统信息化风险事件频发,风险损失不断增加等都对银行稳健发展带来越来越大的威胁,银行信息科技风险管理的形势日趋严峻,管理的难度也越来越大。为此,防控商业银行信息科技风险刻不容缓,十分重要,在推动银行业务创新、提高信息技术应用水平的同时,不断加强信息科技风险管理研究,以促进信息科技风险管理水平持续提升,切实抓好商业银行信息系统风险管控,促使打造一个安全可靠的金融IT平台,使银行业务健康稳定快速发展。
本文首先介绍了选题的背景和意义,对商业银行信息科技风险的定义、内涵,我国商业银行信息科技风险的基本特征和类别、管理等进行概述。
其次用规范理论研究和实例研究相结合的方法揭示了我国商业银行信息科技管理存在的主要风险,提出了当前我国商业银行信息科技风险需要关注的重点,包括信息科技治理、变更管理、业务连续性管理、第三方管理以及与用户密切相关的重要应用系统的风险管理等。并找出了目前我国金融系统信息科技风险管理相对薄弱的原因,对信息科技的风险防范不足,缺乏对信息科技安全的关注、统筹安排,在信息科技风险管理的理念、实际应用、技术平台以及人力资源配置等方面均显不足以致风险隐患与风险漏洞较多。
然后通过我国某商业银行信息科技风险管理的案例进行分析,结合该商业银行自身的信息系统特点和风险进行了剖析,通过该银行信息化的进程阐述了商业银行信息系统的构成特点,对该银行信息化风险控制现状、存在问题进行了详细的阐述,并综合地有针对性地提出了改进完善该银行信息科技风险管理的建议,尝试着为银行开展信息系统安全审计提供必要的风险导向。
接着从我国商业银行信息科技风险的主要表现出发,根据我国商业银行在信息科技风险管理上存在的问题,提出银行信息技术风险进行控制、防范和化解的对策。从制度建设入手,完善管理体制,从内部控制、外部控制进行研究,提出了对内部控制上主要应提高思想认识、完善内控制度、强化队伍建设、加强技术防范、建立应急体系等;外部控制上主要是加强金融监管、加快技术法规、标准建设、加强服务外包风险控制和取得国家其他部门和机构的有力支持等。
最后,对论文的研究过程总结归纳,阐明不足之处。
Currently, information technology has become a basic platform for commercial bank to achieve the goal of management, operation, and innovation. With the the increasing level of financial information technology, commercial banks dependend more and more on information technology. The penetration of information technology to the financial business has accelerated the realization of operating efficiency and income of bank. one of the potential risks of information technology, however, is gradually widening at the same time. Especially in recent years, informationization risk event happens frequently in financial system. The loss of risk is also increasing. All these bring a growing threat to the healthy development of banks, so bank information technology risk management situation is becoming increasingly severe. Therefore,it is very crucial for commercial banks to prevent and control the risk of information technology. To create a safe and reliable financial IT platform that enables rapid development of healthy and stable banking business, it is important to promote the innovation of banking business, improve the application level of information technology, and strengthen the risk management of information technology simultaneously
This paper introduces the background and significance of the topic firstly. Then it discusses the definition and connotation of commercial bank information' technology risk, the basic characteristics, category and management of China's commercial banks information technology risks as well.
Secondly, with the combination of theoretical research and case study, the study reveals the main risks in managing China's commercial bank information technology and presents the current information technology risks that commercial banks need to focus on, including information technology governance, change management, business continuity management, the third party management and the risk management of important application system closely related to users as well. Simultaneously, the study finds out the causes of weakness of the information technology risk management in current financial system, including inadequate prevention of information technology risk, lack of co-ordinate arrangements and concern about the safety of information technology, deficiency of concepts, practical applications, technology platforms and other aspects of human resources in management of information technology.
After that, the paper studies a case of one commercial bank information technology risk management. Based on its own characteristic, risk of information system and the process of Informatization, the study describes the composition characteristics of commercial bank information system. It analyzes the situation of bank information risk control and existing problems in detail, and puts forward an integrated manner to improve the risk management of the bank's information technology, trying to provide the necessary information system security risk-based audit for the bank.
Then, starting with the main performance of commercial bank information technology risks, based on the problems of commercial banks in the information technology risk management, the study provides the countermeasures to control, prevent and reduce the risk of bank information technology. On the basis of system construction, to perfect the management system, the study points out that, internal control and external control are to be applied. Internal control means enhancing their understanding, perfecting the internal control system, and strengthening team building and technical protection, the establishment of emergency system, etc.; external control mainly refers to strengthening financial supervision, speeding up technical regulations, strengthening risk control of service outsourcing and obtaining strong support of agencies and state, etc..
Finally, the paper summarizes the research process and clarifies deficiencies of the study.
本文首先介绍了选题的背景和意义,对商业银行信息科技风险的定义、内涵,我国商业银行信息科技风险的基本特征和类别、管理等进行概述。
其次用规范理论研究和实例研究相结合的方法揭示了我国商业银行信息科技管理存在的主要风险,提出了当前我国商业银行信息科技风险需要关注的重点,包括信息科技治理、变更管理、业务连续性管理、第三方管理以及与用户密切相关的重要应用系统的风险管理等。并找出了目前我国金融系统信息科技风险管理相对薄弱的原因,对信息科技的风险防范不足,缺乏对信息科技安全的关注、统筹安排,在信息科技风险管理的理念、实际应用、技术平台以及人力资源配置等方面均显不足以致风险隐患与风险漏洞较多。
然后通过我国某商业银行信息科技风险管理的案例进行分析,结合该商业银行自身的信息系统特点和风险进行了剖析,通过该银行信息化的进程阐述了商业银行信息系统的构成特点,对该银行信息化风险控制现状、存在问题进行了详细的阐述,并综合地有针对性地提出了改进完善该银行信息科技风险管理的建议,尝试着为银行开展信息系统安全审计提供必要的风险导向。
接着从我国商业银行信息科技风险的主要表现出发,根据我国商业银行在信息科技风险管理上存在的问题,提出银行信息技术风险进行控制、防范和化解的对策。从制度建设入手,完善管理体制,从内部控制、外部控制进行研究,提出了对内部控制上主要应提高思想认识、完善内控制度、强化队伍建设、加强技术防范、建立应急体系等;外部控制上主要是加强金融监管、加快技术法规、标准建设、加强服务外包风险控制和取得国家其他部门和机构的有力支持等。
最后,对论文的研究过程总结归纳,阐明不足之处。
Currently, information technology has become a basic platform for commercial bank to achieve the goal of management, operation, and innovation. With the the increasing level of financial information technology, commercial banks dependend more and more on information technology. The penetration of information technology to the financial business has accelerated the realization of operating efficiency and income of bank. one of the potential risks of information technology, however, is gradually widening at the same time. Especially in recent years, informationization risk event happens frequently in financial system. The loss of risk is also increasing. All these bring a growing threat to the healthy development of banks, so bank information technology risk management situation is becoming increasingly severe. Therefore,it is very crucial for commercial banks to prevent and control the risk of information technology. To create a safe and reliable financial IT platform that enables rapid development of healthy and stable banking business, it is important to promote the innovation of banking business, improve the application level of information technology, and strengthen the risk management of information technology simultaneously
This paper introduces the background and significance of the topic firstly. Then it discusses the definition and connotation of commercial bank information' technology risk, the basic characteristics, category and management of China's commercial banks information technology risks as well.
Secondly, with the combination of theoretical research and case study, the study reveals the main risks in managing China's commercial bank information technology and presents the current information technology risks that commercial banks need to focus on, including information technology governance, change management, business continuity management, the third party management and the risk management of important application system closely related to users as well. Simultaneously, the study finds out the causes of weakness of the information technology risk management in current financial system, including inadequate prevention of information technology risk, lack of co-ordinate arrangements and concern about the safety of information technology, deficiency of concepts, practical applications, technology platforms and other aspects of human resources in management of information technology.
After that, the paper studies a case of one commercial bank information technology risk management. Based on its own characteristic, risk of information system and the process of Informatization, the study describes the composition characteristics of commercial bank information system. It analyzes the situation of bank information risk control and existing problems in detail, and puts forward an integrated manner to improve the risk management of the bank's information technology, trying to provide the necessary information system security risk-based audit for the bank.
Then, starting with the main performance of commercial bank information technology risks, based on the problems of commercial banks in the information technology risk management, the study provides the countermeasures to control, prevent and reduce the risk of bank information technology. On the basis of system construction, to perfect the management system, the study points out that, internal control and external control are to be applied. Internal control means enhancing their understanding, perfecting the internal control system, and strengthening team building and technical protection, the establishment of emergency system, etc.; external control mainly refers to strengthening financial supervision, speeding up technical regulations, strengthening risk control of service outsourcing and obtaining strong support of agencies and state, etc..
Finally, the paper summarizes the research process and clarifies deficiencies of the study.
引文
1王大威,《构建银行业信息安全屏障——商业银行信息科技风险防范与管理论坛综述》,银行家,2009年8月5日
2《我国商业银行信息科技风险管理研究(研究报告[2010]58号)》,中国工商银行城市金融研究所,2010年10月8日
3 《商业银行信息科技风险管理指引》, 中国银行业监督管理委员会,2009年6月1日
4李东卫,《商业银行信息科技风险的分析与对策》,中国金融电脑,2009年第6期
5李东卫,《商业银行信息科技风险的分析与对策》,中国金融电脑,2009年第6期
6骆鉴,《论国外金融信息化风险管理与控制》,吉林大学硕士论文,2010年4月1日
7《中国银监会办公厅关于重要信息系统运行管理及关键设备风险提示的通知》(银监办发[2010]240号),中国银行业监督管理委员会办公厅文件,2010年6月4日
8《中国银监会办公厅关于学习推广中国工商银行运用现代信息技术手段有效提升防控金融和廉政风险能力工作经验的通知》(银监办发(2010)171号),中国银行业监督管理委员会办公厅文件,2010年6月7日
9刘萍,《浅析金融信息安全》,甘肃金融,2009年7月15日
10《山西分行2008年信息科技风险管理报告》,中国工商银行内部情况通报,2009年9月
11中国工商银行总行内控合规部组,《中国工商银行操作风险管理手册》,中国金融出版社,2006年8月
12唐磊,《商业银行信息科技风险现状与管理策略分析》,中国金融电脑,2009年2期
[1]《商业银行信息科技风险管理指引》, 中国银行业监督管理委员会,2009年6月1日
[2]《中国银监会办公厅关于重要信息系统运行管理及关键设备风险提示的通知》(银监办发(2010)240号),中国银行业监督管理委员会办公厅文件,2010年6月4日
[3]李东卫, 《对商业银行信息科技风险的几点思考》,金卡工程(经济与法),2008年9月20日
[4]中国工商银行总行内控合规部组,《中国工商银行操作风险管理手册》,中国金融出版社,2006年8月
[5]《我国商业银行信息科技风险管理研究(研究报告[2010]58号)》,中国工商银行城市金融研究所,2010年10月8日
[6]《山西分行2008年信息科技风险管理报告》,中国工商银行内部情况通报,2009年9月
[7]赵相如, 《股份制商业银行信息科技应用及风险防范对策》,河北金融,2007年2月28日
[8]赵相如,《防范银行信息科技风险的建议》,金融会计,2007年3月5日
[9]唐磊,《商业银行信息科技风险现状与管理策略分析》,中国金融电脑,2009年2期
[10]宋春燕, 《一级分行信息科技风险点分析及防范策略》,中国金融电脑,2009年11期
[11]唐磊, 《商业银行IT服务外包的风险及管理措施》,中国金融电脑,2009年11期
[12]叶贵添,《商业银行信息科技风险分析及管理策略》,硅谷,2010年4月23
[13]徐辉, 《基层银行业信息科技风险表现及防范对策》,华南金融电脑,2009年2月10日
[14]杨瑞林, 《信息科技环境下银行业内部控制体系的构建与实现》 ,内蒙古大学硕士论文,2007年11月5日
[15]阂华,《数据大集中趋势下央行支付系统的风险控制与管理》,西南财经大学硕士论文,2008年5月12日
[16]骆鉴, 《论国外金融信息化风险管理与控制》,吉林大学硕士论文,2010年4月1日
[17]吴博, 《操作风险管理视角下的商业银行信息科技风险管理研究》,新金融,2010年9月15日
[18]苏宏, 《数据大集中后的思考》,华南金融电脑2004年3月10日
[19]陈柳钦,《安全:金融信息化的命脉》,中国科技投资2009年2月5日
[20]贺艳红、喻凌云,《我国金融信息安全保障体系建设研究》中国商界(上半月),2009年6月15日
[21]刘萍, 《浅析金融信息安全》,甘肃金融,2009年7月15日
[22]陈文雄,《信息科技风险管理重在“意识”》,金融电子化,2008年6月7日
[22]陈文雄,《发展银行业信息科技风险管理意识须先行》,中国金融,2009年4月1日
[23]陈柳钦, 《构建金融信息安全保障体系的基本思路》,价格与市场,2009年3月10日
[24]《中国银监会办公厅关于学习推广中国工商银行运用现代信息技术手段有效提升防控金融和廉政风险能力工作经验的通知》(银监办发(2010)171号),中国银行业监督管理委员会办公厅文件,2010年6月7日
[25]李东卫, 《商业银行信息科技风险的分析与对策》,中国金融电脑,2009年第6期
[26]林晓轩,《加强信息科技风险管理打造安全的金融IT平台》,中国金融电脑,2009年第1期
[27]程卫、立勇,《完善信息安全管理机制防范银行信息科技风险——访中国工商银行信息科技部总经理林晓轩》,中国金融电脑,2008年第5期
[28]赵志强, 《商业银行信息安全保障体系的研究》,天津大学硕士学位论文,2008年5月
[29]易会满,《加快科技创新步伐提升科技服务质量努力建设国际一流IT银行——在中国工商银行信息科技工作会议上的讲话》([2010]65号),中国工商银行内部情况通报第3期,2010年1月19日
[30]徐明,《银行信息技术风险管理及若干对策研究》,国防科学技术大学硕士学位论文,2007年6月
[31]王大威,《构建银行业信息安全屏障——商业银行信息科技风险防范与管理论坛综述》,银行家,2009年8月5日
2《我国商业银行信息科技风险管理研究(研究报告[2010]58号)》,中国工商银行城市金融研究所,2010年10月8日
3 《商业银行信息科技风险管理指引》, 中国银行业监督管理委员会,2009年6月1日
4李东卫,《商业银行信息科技风险的分析与对策》,中国金融电脑,2009年第6期
5李东卫,《商业银行信息科技风险的分析与对策》,中国金融电脑,2009年第6期
6骆鉴,《论国外金融信息化风险管理与控制》,吉林大学硕士论文,2010年4月1日
7《中国银监会办公厅关于重要信息系统运行管理及关键设备风险提示的通知》(银监办发[2010]240号),中国银行业监督管理委员会办公厅文件,2010年6月4日
8《中国银监会办公厅关于学习推广中国工商银行运用现代信息技术手段有效提升防控金融和廉政风险能力工作经验的通知》(银监办发(2010)171号),中国银行业监督管理委员会办公厅文件,2010年6月7日
9刘萍,《浅析金融信息安全》,甘肃金融,2009年7月15日
10《山西分行2008年信息科技风险管理报告》,中国工商银行内部情况通报,2009年9月
11中国工商银行总行内控合规部组,《中国工商银行操作风险管理手册》,中国金融出版社,2006年8月
12唐磊,《商业银行信息科技风险现状与管理策略分析》,中国金融电脑,2009年2期
[1]《商业银行信息科技风险管理指引》, 中国银行业监督管理委员会,2009年6月1日
[2]《中国银监会办公厅关于重要信息系统运行管理及关键设备风险提示的通知》(银监办发(2010)240号),中国银行业监督管理委员会办公厅文件,2010年6月4日
[3]李东卫, 《对商业银行信息科技风险的几点思考》,金卡工程(经济与法),2008年9月20日
[4]中国工商银行总行内控合规部组,《中国工商银行操作风险管理手册》,中国金融出版社,2006年8月
[5]《我国商业银行信息科技风险管理研究(研究报告[2010]58号)》,中国工商银行城市金融研究所,2010年10月8日
[6]《山西分行2008年信息科技风险管理报告》,中国工商银行内部情况通报,2009年9月
[7]赵相如, 《股份制商业银行信息科技应用及风险防范对策》,河北金融,2007年2月28日
[8]赵相如,《防范银行信息科技风险的建议》,金融会计,2007年3月5日
[9]唐磊,《商业银行信息科技风险现状与管理策略分析》,中国金融电脑,2009年2期
[10]宋春燕, 《一级分行信息科技风险点分析及防范策略》,中国金融电脑,2009年11期
[11]唐磊, 《商业银行IT服务外包的风险及管理措施》,中国金融电脑,2009年11期
[12]叶贵添,《商业银行信息科技风险分析及管理策略》,硅谷,2010年4月23
[13]徐辉, 《基层银行业信息科技风险表现及防范对策》,华南金融电脑,2009年2月10日
[14]杨瑞林, 《信息科技环境下银行业内部控制体系的构建与实现》 ,内蒙古大学硕士论文,2007年11月5日
[15]阂华,《数据大集中趋势下央行支付系统的风险控制与管理》,西南财经大学硕士论文,2008年5月12日
[16]骆鉴, 《论国外金融信息化风险管理与控制》,吉林大学硕士论文,2010年4月1日
[17]吴博, 《操作风险管理视角下的商业银行信息科技风险管理研究》,新金融,2010年9月15日
[18]苏宏, 《数据大集中后的思考》,华南金融电脑2004年3月10日
[19]陈柳钦,《安全:金融信息化的命脉》,中国科技投资2009年2月5日
[20]贺艳红、喻凌云,《我国金融信息安全保障体系建设研究》中国商界(上半月),2009年6月15日
[21]刘萍, 《浅析金融信息安全》,甘肃金融,2009年7月15日
[22]陈文雄,《信息科技风险管理重在“意识”》,金融电子化,2008年6月7日
[22]陈文雄,《发展银行业信息科技风险管理意识须先行》,中国金融,2009年4月1日
[23]陈柳钦, 《构建金融信息安全保障体系的基本思路》,价格与市场,2009年3月10日
[24]《中国银监会办公厅关于学习推广中国工商银行运用现代信息技术手段有效提升防控金融和廉政风险能力工作经验的通知》(银监办发(2010)171号),中国银行业监督管理委员会办公厅文件,2010年6月7日
[25]李东卫, 《商业银行信息科技风险的分析与对策》,中国金融电脑,2009年第6期
[26]林晓轩,《加强信息科技风险管理打造安全的金融IT平台》,中国金融电脑,2009年第1期
[27]程卫、立勇,《完善信息安全管理机制防范银行信息科技风险——访中国工商银行信息科技部总经理林晓轩》,中国金融电脑,2008年第5期
[28]赵志强, 《商业银行信息安全保障体系的研究》,天津大学硕士学位论文,2008年5月
[29]易会满,《加快科技创新步伐提升科技服务质量努力建设国际一流IT银行——在中国工商银行信息科技工作会议上的讲话》([2010]65号),中国工商银行内部情况通报第3期,2010年1月19日
[30]徐明,《银行信息技术风险管理及若干对策研究》,国防科学技术大学硕士学位论文,2007年6月
[31]王大威,《构建银行业信息安全屏障——商业银行信息科技风险防范与管理论坛综述》,银行家,2009年8月5日