第一篇：銀行業(yè)IT部門所面臨的風險及規(guī)避建議

銀行業(yè)IT部門所面臨的風險及規(guī)避建議

一、當前銀行業(yè)IT部門所面臨的主要風險

信息科技的不斷進步,一方面使得銀行業(yè)信息和數(shù)據(jù)邏輯集中程度不斷得到提高,另一方面又成為銀行業(yè)穩(wěn)健運行的一大安全隱患,其所帶來的風險主要也是來自于信息科技的軟件、硬件或是人為過失上。1997年7月,因特網(wǎng)服務提供商因為日常因特網(wǎng)路由表更新新進程的一個錯誤,與其它的ISP失去了連接,大約45%的因特網(wǎng)用戶受到影響。2003年1月,美國銀行13000臺ATM機因病毒瞬間宕機,該行客戶無法通過ATM完成存取款交易。2006年日本最大的美資銀行花旗銀行出現(xiàn)交易系統(tǒng)故障,5天內(nèi)約27.5萬筆公用事業(yè)繳費遭重復扣劃,或交易后未作月結記錄。2007年3月19日,中行北京分行系統(tǒng)出現(xiàn)硬件故障,除自動取款機業(yè)務未受影響外,其他各項業(yè)務被迫中斷。我國銀聯(lián)全國跨行交易系統(tǒng)曾經(jīng)一度癱瘓6個小時,國內(nèi)大部分商戶的POS機無法刷卡,所有銀行的終端無法進行跨行操作,期間阻斷交易量達246.6萬筆,金額1287.7億元。2007年上半年瑞星公司共截獲新病毒133717個,其中木馬病毒83119個,后門病毒31204個,兩者之和超過11萬,而這兩類病毒都以侵入用戶電腦,竊取個人資料、銀行賬號等信息為目的,帶有直接的經(jīng)濟利益特征。

縱觀各種案列,我們不難發(fā)現(xiàn)IT部門所面臨的風險主要集中表現(xiàn)在:

1、法制的不完善

我國制定的《網(wǎng)絡銀行業(yè)務管理暫行辦法》對銀行IT風險的管理問題作了規(guī)定,包括信息安全策略、物理安全、加密、防火墻、業(yè)務應急和連續(xù)性計劃、審計、人員培訓、重大事項報告制度、安全性評估等。而《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》的頒布,也標志著我國將銀行信息系統(tǒng)風險正式納入風險監(jiān)管的范疇。但與其他國家發(fā)布的法律相比,我國的法律顯得較為簡略。這一方面使得國內(nèi)銀行IT風險管理缺乏指導另一方面,也使現(xiàn)階段對網(wǎng)絡銀行的現(xiàn)場檢查難以進行。

2、信息技術的漏洞

各大商業(yè)銀行以信息技術為基礎開展的各項銀行服務擬為客戶提供一個隨時、隨地、隨意的服務交易環(huán)境,但由于應用程序在研發(fā)中考慮不周或是不夠嚴密,導致應用軟件在運行中出現(xiàn)財務錯亂、數(shù)據(jù)信息受損等。有的客戶在進行網(wǎng)上交易時,數(shù)據(jù)在傳輸過程中被泄露、篡改、偽造致使客戶信息被盜取,影響資金安全。更有甚者的假銀行網(wǎng)站、克隆網(wǎng)站或網(wǎng)絡黑客通過截獲客戶通訊數(shù)據(jù)、安裝木馬程序等方式套取用戶密碼和交易密碼,以轉移客戶在銀行的資金。

3、銀行自身數(shù)據(jù)大集中所引發(fā)的風險

信息技術突破了地域限制,銀行隨著進行了數(shù)據(jù)大集中,而數(shù)據(jù)集中后,雖然在管理上便于維護、升級、但系統(tǒng)的架構由此變得更加復雜,牽扯的各方面因素也比原來大大增加,很多問題由于權限問題在分行層面無法得到解決,需要向總行數(shù)據(jù)中心反映,削弱了分行的應急抗災能力和應變管理能力。同時,由于數(shù)據(jù)的大集中,一旦出現(xiàn)突發(fā)事故,將導致全行業(yè)務系統(tǒng)的癱瘓與停頓。

4、IT部門定位與管理上的不足

許多銀行的IT部門近幾年一直在努力吸收支持新業(yè)務運行所需的新技術、新人員,但如果僅僅是將新的技術、人員組合在一起,就無法保證基礎設施的穩(wěn)定性和服務級別,提高銀行的核心競爭力。①銀行IT管理的有關制度與快速發(fā)展的IT部門適應,組織管理割裂,職責不清,IT服務管理缺乏流程保障,維護人員忙于

救火,缺乏主動服務;②IT系統(tǒng)缺乏長期規(guī)劃,更缺乏復雜系統(tǒng)的運維管理經(jīng)驗,關鍵人員的工作變動甚至造成技術空白;③IT部門是集運營、管理、監(jiān)督于一身的技術壟斷部門,一方面由于自身的專業(yè)性極強,高級管理層和風險控制無法對其實施有效監(jiān)管,另一方面由于IT部門即當裁判員又當運動員,集行政管理與技術管理于一身,無法勝任監(jiān)管職責,而且容易產(chǎn)生責任推諉、自行其事等不良風氣與行為;④缺乏既熟悉金融業(yè)務又精通信息技術的復合型人才,與信息科技快速發(fā)展不相適應。

二、規(guī)避信息化風險的建議

針對我國目前銀行IT部門所面臨的風險,可調整當前銀行業(yè)信息科技風險管理工作的重點內(nèi)容,以通過這幾點建議來規(guī)避銀行業(yè)的信息化風險。

1、完善IT風險的立法

為防范IT風險,確保銀行的正常運作,我們應借鑒發(fā)達國家的相關法律法規(guī),結合我們的具體情況,逐步建立和完善我國商業(yè)銀行IT風險監(jiān)管的法律體系。可在國家和行業(yè)層次如信息產(chǎn)業(yè)部頒布的立法的基礎上,對已有的如《銀行法》、《票據(jù)法》等現(xiàn)有法律中涉及IT風險的法律進行修訂和補充。同時制定與國際接軌的IT審計標準,如可按照國際通用的信息技術審計標準COBIT,結合我國商業(yè)銀行業(yè)的具體實際情況,建立適合我國銀行業(yè)的信息技術標準,以運用IT審計規(guī)避商業(yè)銀行的信息化風險。除此之外,還應制定相應的IT操作指南,正確指導操作人員的工作,確保信息系統(tǒng)的正常運行。

2、完善信息科技技術,進一步提高信息科技在銀行IT部門的應用

對于IT部門來說,提供的服務一般是無形的,表面上并不直接對組織的經(jīng)營情況產(chǎn)生影響,無法用實際價值來衡量其貢獻度,但完善信息科技技術在銀行的運用,將對銀行業(yè)的發(fā)展帶來不可估量的前景,IT技術的健全對商業(yè)銀行來說具有不可替代的作用,也可以說是目前一個銀行發(fā)展的核心競爭力。

首先可以建立IT系統(tǒng)支持和故障維護知識庫,通過對故障解決方法的積累,在全行間實現(xiàn)共享,提高技術人員排除故障的效率和能力,其他用戶也可以參考實現(xiàn)“自助式”排除常見故障。

其次實時監(jiān)控全行的IT基礎架構,出現(xiàn)異常情況時能夠按預先設置的方式及時產(chǎn)生明顯的報警信號,自動生成服務請求單,通知相關人員。同時對故障信息進行分類、過濾,準確分析事故原因,降低因人為判斷失誤造成的風險,提高排除故障的效率和準確度。

最后對銀行范圍內(nèi)的網(wǎng)絡連接、運行狀況進行監(jiān)控和管理。包括各級分行的路由器、交換機、網(wǎng)絡防火墻等設備的安裝情況、系統(tǒng)連接情況、設備運行狀態(tài)、設備參數(shù)調整與備份等,特別應關注與第三方等外來連接情況的監(jiān)測,如發(fā)現(xiàn)存在不安全因素應及時報警,并采取應急預案,以確保系統(tǒng)的安全運行。

3、完善IT科技體系,建立風險管理信息系統(tǒng),提高風險控制能力

隨著銀行機構的各級管理部門和管理人員對經(jīng)營管理信息化的要求越來越高,經(jīng)營管理和科學決策對管理信息系統(tǒng)的要求也越來越高。完善的信息科技體系不但能夠提升銀行機構經(jīng)營管理水平,還能提高其風險控制能力。①強化以風險管理、客戶關系管理、績效考核和報表體系改革等為核心的重點項目建設,為業(yè)務管理提供全面的業(yè)務信息,為客戶營銷提供技術支持,為管理層決策提供科學依據(jù)。②建立IT與業(yè)務部門的伙伴型關系,把支持業(yè)務發(fā)展、金融創(chuàng)新作為IT建設及信息科技內(nèi)部控制的一個目標,擺脫IT部門被動救火隊的角色。③通過加強數(shù)據(jù)標準、信息分類編碼標準和用戶視圖標準等標準的制定,保障各類信息標準的統(tǒng)一,提升科技管理的規(guī)范化水平和效率,提升應用系統(tǒng)質量,確保系統(tǒng)的安全和穩(wěn)定運行。

4、提高風險意識,加強管理,加大復合型專業(yè)人才培養(yǎng)力度

信息科技部門的全體員工首先要認真學習全面風險管理理論,樹立全面風險管理的意識。風險意識是任何一個風險管理流程的起點。在風險管理中,風險管理不僅是管理層的工作,也是全體員工的責任。①對全體員工都要進行必要的培訓使其具備必要的技能,來管理自己所負責的風險,在員工加入公司的入門培訓中,就應該開始風險管理的教育。另外還可以將薪酬與風險掛鉤,將薪酬與獎勵同公司與個人的業(yè)務和風險管理表現(xiàn)相聯(lián)系。②挑選部分經(jīng)驗豐富的技術骨干,對他們進行專業(yè)信息安全管理培訓,使員工對業(yè)務信息系統(tǒng)的了解、計算機專業(yè)業(yè)務知識和風險管理結合于一體,提高職工個人的抗風險能力。

5、IT風險預警系統(tǒng)的建立

建立IT風險預警數(shù)據(jù)庫,對銀行業(yè)IT風險事故進行科學的分類,采用數(shù)據(jù)挖掘技術對銀行的IT風險進行監(jiān)測和預警。建立一個包括安全策略、安全配置管理、事態(tài)安全檢測、應用程序、數(shù)據(jù)庫管理、系統(tǒng)平臺、網(wǎng)絡通訊和物理設施等要素的一個預警指標體系,采集和統(tǒng)計國內(nèi)外銀行甚至相關行業(yè)如商業(yè)、財稅、會計等安全性風險的數(shù)據(jù),科學地建立我國商業(yè)銀行風險預警數(shù)據(jù)庫,確定IT指標的預警門限值,從而建立一套IT預警系統(tǒng)。該系統(tǒng)應該可以通過科學的網(wǎng)絡服務審計功能能夠檢測識別大部分黑客使用的網(wǎng)上入侵手段,記錄其入侵的源地址、攻擊的類型、攻擊的目的、攻擊的時間等信息,一旦發(fā)現(xiàn)入侵跡象等可能面臨威脅,則及時向銀行IT管理部門發(fā)布銀行IT風險預警信息。

在經(jīng)濟全球化的今天,金融電子化程度的日益提高以及數(shù)據(jù)集中體系的加大,信息技術風險控制已成為銀行業(yè)金融機構風險管理的重要內(nèi)容,銀行IT部門亦越來越不可或缺,IT部門對銀行信息系統(tǒng)科技的風險控制,加強了銀行業(yè)務運營風險的防范,只有積極去迎接、應對和解決不斷出現(xiàn)的各種風險,才能在這個網(wǎng)絡經(jīng)濟時代促進銀行業(yè)的新發(fā)展。

第二篇：內(nèi)控部門所面臨問題

SAP系統(tǒng)上線初期，系統(tǒng)內(nèi)的權限管理往往并不引起重視。大家關注更多的是系統(tǒng)能否順暢運行、數(shù)據(jù)是否準確，財務帳是否能對得上等等。隨著SAP應用的日趨深入，公司業(yè)務的不斷重組、用戶工作崗位的頻繁變動、崗位職責的擴大與組合等內(nèi)部權限管理問題就慢慢突顯。比如：

■ 沒有清晰的授權原則，不能確切的說明為何授權或授何種權

■ 隨著系統(tǒng)使用，用戶權限被逐漸放大甚至失控

■ 職責分離體系不能被有效建立和執(zhí)行

■ 超級管理員權限管理不規(guī)范

■ 權限不經(jīng)測試系統(tǒng)直接在生產(chǎn)系統(tǒng)中分配

■ 權限申請變更沒有規(guī)范的流程

■ 對人員崗位調動或公司間調動沒有及時的做權限變更

■ 臨時用戶權限使用后沒有進行及時回收

■ 使用單用戶單角色進行權限管理

…………

SAP權限管理人員所面臨的問題就產(chǎn)生了：

■ 哪些用戶擁有關鍵事務或敏感權限（SAT）？

■ 哪些用戶擁有的TCODE存在權責互斥（SOD）？

■ 哪些用戶擁有超級權限？

■ 哪些用戶擁有跨公司權限？

■ 用戶本身有哪些權限，可以申請哪些權限，不應該擁有哪些權限？

■ 調崗或離職用戶及時清理了嗎？

■ 系統(tǒng)中用戶信息和備案信息是否保持一致？

■ 能否及時出具審計所需權限報告？

…………

如此等等問題是權限管理人員難以判斷的，盲目操作的結果將導致用戶權限的混亂，進而產(chǎn)生管理困難甚至無法管理，管理成本不斷增加，業(yè)務風險不斷加大。

第三篇：Teavana所面臨的風險[范文模版]

日前美國茶葉零售商Teavana正式登陸紐交所，股票代碼“TEA”。發(fā)行價17美元，上市首日收盤報27.80美元，較IPO發(fā)行價上張63.53%。

Teavana在IPO中發(fā)行了714萬股普通股，發(fā)行價17美元，募集資金1.214億美元。美銀美林和高盛擔任IPO的主承銷商。

Teavana是美國茶葉專業(yè)零售商，目前在美國35個州擁有161家直營店和19家特許專賣店（其中美國本土2家，墨西哥17家），該公司出售的茶葉超過100多個品種，涉及白茶、紅茶、綠茶、烏龍茶、巴拉圭茶、路易波士茶和草藥茶以及他們的混合茶。本文將依據(jù)SEC文件針對該公司面臨的風險做簡單解析。

1）產(chǎn)品來源過度依賴上游供貨商

Teavana為一家專業(yè)的茶葉零售商，公司自身不擁有或者運營任何茶園以及生產(chǎn)設施，其所出售的茶葉和相關商品依賴于從供貨商和制造商采購，而該公司與這些供應商或者制造商簽署的都是短期供應合同，如果未來出現(xiàn)不利因素，如供貨商和制造商 提高產(chǎn)品價格、中斷產(chǎn)品供應，向競爭對手出售相同或者同類產(chǎn)品、與競爭對手簽署獨家供應協(xié)議等都將會影響到Teavana產(chǎn)品的庫存，進而影響到公司銷售 業(yè)績。

2）茶葉及茶商品貿(mào)易限制

Teavana目前所出售的所有散裝茶和大部分茶商品都是在美國本土之外生產(chǎn)，如果未來國際經(jīng)濟和政治局勢發(fā)生變化，美國與出口國對這些產(chǎn)品實施進出口額限制和其他管制，或者征收額外關稅和稅收，勢必將會影響到該公司產(chǎn)品供應鏈和采購成本。

3）整個分銷渠道依賴于一個分銷中心

目前,Teavana在美國康乃迪克州斯特拉特福鎮(zhèn)建有一個分銷中心，通過這個分銷中心 將其所有產(chǎn)品（包括茶葉和相關商品）運輸至布遍全國的零售店，運輸頻率為每周多次。對于Teavana銷售體系來說，分銷中心類似于“大腦中樞系統(tǒng)”，它 承擔者調度和管理整個產(chǎn)品分銷渠道的任務，但如果遇到惡劣天氣、火災和其他自然災害及其他突發(fā)事件，將會使得這個大腦中樞系統(tǒng)出現(xiàn)紊亂或者受損，進而殃及 整個銷售體系，對公司業(yè)績產(chǎn)生不利影響。（注：根據(jù)該公司提交的SEC文件，未來該公司計劃在2011年至2012年期間分三個階段來擴大現(xiàn)有分銷中心規(guī) 模，同時計劃在美國其他地區(qū)建立第二家分銷中心來滿足遠期的業(yè)績增長。）

4)特許加盟店因獨立運營而無法保證運營質量、且存在法律監(jiān)管風險

截至2011年5月1日，Teavana總共擁有19家特許加盟店，其中美國本土2家，墨西哥17家。特許加盟店運營保持獨立，Teavana只提供相關培訓、支持以及負責制定和監(jiān)督加盟店的運營標準。由于Teavana不參與加盟店的日常 運營（如委派員工或者代理），因此這些特許加盟店可能受諸多因素的影響，他們的運營質量會層次不齊，可能會出現(xiàn)一些加盟店運營質量不盡人意，達不到 Teavana所指定的標準?；蛘咭恍┘用松瘫畴xTeavana所指定的業(yè)務發(fā)展戰(zhàn)略而另起爐灶，也可能會影響到他們產(chǎn)品的銷量，進而對Teavana品 牌也產(chǎn)生負面影響。同時, 作為一家特許專營受權公司，Teavana在提供和出售特許加盟權方面需總受美國和國際現(xiàn)行相關法律法規(guī)，如果未來這些法律發(fā)生變更也將會對帶該公司這塊 業(yè)務產(chǎn)生影響行。

5）公司運營和財務受限于與銀行簽署的循環(huán)信貸協(xié)議

根據(jù)Teavana與美國五三銀行簽署的修訂循環(huán)性貸款協(xié)議，未來Teavana必須維 持規(guī)定的財務比率和遵守相關條款協(xié)議，而這些協(xié)議條款將會使該公司的運營受到限制，如在留置權、獲取額外貸款、支付股息、贖回普通股、投資、實施并購、或 者資產(chǎn)出售交易等方面。同時，如果Teavana出現(xiàn)違約，債權人就會宣布剩余循環(huán)信貸額的期限將全部到期，并要求該公司償還貸款以及執(zhí)行協(xié)議中規(guī)定的補 救措施，這將會給該公司的財務帶來不利影響。

6）顧客消費偏好的轉變將會影響該公司茶葉的銷量

目前，該公司的業(yè)務比較單一，主要以出售高檔散裝茶和與茶相關商品為主，公司的業(yè)績增加 主要依托于美國茶葉市場的穩(wěn)步發(fā)展，換句話說，就是消費者未來在茶和茶飲料方面的消費。然而，就茶消費市場而言，顧客的消費偏好通常轉化速度比較快，如果 未來消費者減少了在茶飲和散裝茶方面的消費，或者市場上出現(xiàn)了其他替代品，將會對該公司茶葉的銷售帶來不利影響。

7）宏觀經(jīng)濟變化將會影響消費者在專業(yè)零售產(chǎn)品方面的支出

從歷史來看，消費者購買專業(yè)零售產(chǎn)品（其中包括該公司出售的產(chǎn)品）通常會受到整個宏觀經(jīng)濟的影響，其中包括就業(yè)、薪水和工資水平、消費信貸、通脹、利率、稅率、油價以及消費者對未來經(jīng)濟的信心等。因此，當整個經(jīng)濟處于衰退時期，該公司所出售產(chǎn)品的銷量將會受到不利影響。

同時，由于Teavana產(chǎn)品來源于供銷商，且產(chǎn)品的分銷運輸依賴于第三方服務提供商。未來如果燃料成本、商品價格以及公司稅增加，供貨商和第三方運輸服務將會把增加的成本轉嫁到Teavana公司身上，從而增加該公司的財務負擔。（i美股）

第四篇：商業(yè)銀行IT部門信息風險的規(guī)避

商業(yè)銀行ＩＴ部門信息風險的規(guī)避

摘要:隨著信息相關技術的快速發(fā)展并融入到各個領域,使其之于銀行的意義,也就猶如空氣之于人類,IT的無處不在也使就被賦予更多的商業(yè)智能。而銀行對信息技術的高度依賴,另一方面也讓銀行信息系統(tǒng)的安全性、可靠性和有效性直接關系到整個金融體系的安全與穩(wěn)定。本文將從銀行IT技術部門的職能定位入手,結合真實案例,深入分析其在日常技術支持工作中遇到的種種問題,基于此提出我國商業(yè)銀行業(yè)IT部門如何規(guī)避信息化風險的幾點對策與建議,促進商業(yè)銀行IT部門的可持續(xù)發(fā)展。

關鍵詞:商業(yè)銀行;IT部門;風險

一、IT部門在商業(yè)銀行中的職能定位及其基本特征

一般來說,商業(yè)銀行的IT技術部門主要是負責全行業(yè)務處理軟件的開發(fā)及綜合業(yè)務系統(tǒng)運行維護。比如:根據(jù)總行的經(jīng)營規(guī)劃,負責研究、擬訂并組織實施本行電子化建設中長期發(fā)展規(guī)劃和規(guī)劃;負責計算機及網(wǎng)絡等設備的選型及管理;負責全行科技應用開發(fā),制定技術開發(fā)規(guī)章制度;負責組織實施軟件開發(fā)和改良工作;負責全行計算機系統(tǒng)的建設、指導和安全運轉;負責綜合業(yè)務信息的匯總、分類分析和反饋;負責總行新產(chǎn)品開發(fā)委員會日常事務等等。其中IT技術類管理委員會負責管理IT技術人員,同時負責制定、解釋和修改各類專業(yè)技術職務任職標準及考核辦法。

從IT部門的職能定位中可看出信息科技在銀行業(yè)中所具有的基本特征。首先,IT信息技術為銀行業(yè)務處理搭建了操作平臺,主要表現(xiàn)在:①網(wǎng)絡技術的發(fā)展為銀行業(yè)務拓展打破了地域限制,甚至可將觸角延伸到國外;②銀行機構業(yè)務處理模式的變化方便了客戶,業(yè)務的辦理經(jīng)過信息系統(tǒng)提供的各類渠道實現(xiàn),比如自助設備和自助銀行的出現(xiàn);③現(xiàn)代化支付結算手段密切了各家銀行的合作共存關系,銀聯(lián)公司提供的標準和人民銀行的現(xiàn)代化支付結算系統(tǒng)都為跨行結算提供平臺;④信息科技促進了銀行業(yè)產(chǎn)品創(chuàng)新和業(yè)務創(chuàng)新,如電話銀行、網(wǎng)上銀行、手機銀行、企業(yè)銀行、自助銀行等電子銀行業(yè)務,同時基于現(xiàn)代科技的多種中間業(yè)務不但優(yōu)化了銀行的收入結構,而且在代收代付、代理基金國債、第三方存管等業(yè)務上也突破了傳統(tǒng)存貸款業(yè)務的局限。其次,為銀行管理信息化的實現(xiàn)提供了保障,比如:集中式信貸管理系統(tǒng)、人事管理信息系統(tǒng)、財務管理信息系統(tǒng),代理業(yè)務分析、支付信息分析、銀行卡業(yè)務統(tǒng)計分析等都分別從內(nèi)部管理和業(yè)務經(jīng)營分析方面為銀行管理提供了信息平臺。最后,其為各商業(yè)銀行的戰(zhàn)略決策提供依據(jù),一個完善的信息系統(tǒng)包括了數(shù)據(jù)采集、數(shù)據(jù)提取、數(shù)據(jù)加工、形成決策報告和對外信息披露等決策子系統(tǒng),為銀行管理層的戰(zhàn)略決策提供強有力的信息依據(jù)。

二、當前銀行業(yè)IT部門所面臨的主要風險

信息科技的不斷進步,一方面使得銀行業(yè)信息和數(shù)據(jù)邏輯集中程度不斷得到提高,另一方面又成為銀行業(yè)穩(wěn)健運行的一大安全隱患,其所帶來的風險主要也是來自于信息科技的軟件、硬件或是人為過失上。1997年7月,因特網(wǎng)服務提供商因為日常因特網(wǎng)路由表更新新進程的一個錯誤,與其它的ISP失去了連接,大約45%的因特網(wǎng)用戶受到影響。2003年1月,美國銀行13000臺ATM機因病毒瞬間宕機,該行客戶無法通過ATM完成存取款交易。2006年日本最大的美資銀行花旗銀行出現(xiàn)交易系統(tǒng)故障,5天內(nèi)約27.5萬筆公用事業(yè)繳費遭重復扣劃,或交易后未作月結記錄。2007年3月19日,中行北京分行系統(tǒng)出現(xiàn)硬件故障,除自動取款機業(yè)務未受影響外,其他各項業(yè)務被迫中斷。我國銀聯(lián)全國跨行交易系統(tǒng)曾經(jīng)一度癱瘓6個小時,國內(nèi)大部分商戶的POS機無法刷卡,所有銀行的終端無法進行跨行操作,期間阻斷交易量

達246.6萬筆,金額1287.7億元。2007年上半年瑞星公司共截獲新病毒133717個,其中木馬病毒83119個,后門病毒31204個,兩者之和超過11萬,而這兩類病毒都以侵入用戶電腦,竊取個人資料、銀行賬號等信息為目的,帶有直接的經(jīng)濟利益特征。

縱觀各種案列,我們不難發(fā)現(xiàn)IT部門所面臨的風險主要集中表現(xiàn)在:

1、法制的不完善

我國制定的《網(wǎng)絡銀行業(yè)務管理暫行辦法》對銀行IT風險的管理問題作了規(guī)定,包括信息安全策略、物理安全、加密、防火墻、業(yè)務應急和連續(xù)性計劃、審計、人員培訓、重大事項報告制度、安全性評估等。而《銀行業(yè)金融機構信息系統(tǒng)風險管理指引》的頒布,也標志著我國將銀行信息系統(tǒng)風險正式納入風險監(jiān)管的范疇。但與其他國家發(fā)布的法律相比,我國的法律顯得較為簡略。這一方面使得國內(nèi)銀行IT風險管理缺乏指導另一方面,也使現(xiàn)階段對網(wǎng)絡銀行的現(xiàn)場檢查難以進行。

2、信息技術的漏洞

各大商業(yè)銀行以信息技術為基礎開展的各項銀行服務擬為客戶提供一個隨時、隨地、隨意的服務交易環(huán)境,但由于應用程序在研發(fā)中考慮不周或是不夠嚴密,導致應用軟件在運行中出現(xiàn)財務錯亂、數(shù)據(jù)信息受損等。有的客戶在進行網(wǎng)上交易時,數(shù)據(jù)在傳輸過程中被泄露、篡改、偽造致使客戶信息被盜取,影響資金安全。更有甚者的假銀行網(wǎng)站、克隆網(wǎng)站或網(wǎng)絡黑客通過截獲客戶通訊數(shù)據(jù)、安裝木馬程序等方式套取用戶密碼和交易密碼,以轉移客戶在銀行的資金。

3、銀行自身數(shù)據(jù)大集中所引發(fā)的風險

信息技術突破了地域限制,銀行隨著進行了數(shù)據(jù)大集中,而數(shù)據(jù)集中后,雖然在管理上便于維護、升級、但系統(tǒng)的架構由此變得更加復雜,牽扯的各方面因素也比原來大大增加,很多問題由于權限問題在分行層面無法得到解決,需要向總行數(shù)據(jù)中心反映,削弱了分行的應急抗災能力和應變管理能力。同時,由于數(shù)據(jù)的大集中,一旦出現(xiàn)突發(fā)事故,將導致全行業(yè)務系統(tǒng)的癱瘓與停頓。

4、IT部門定位與管理上的不足

許多銀行的IT部門近幾年一直在努力吸收支持新業(yè)務運行所需的新技術、新人員,但如果僅僅是將新的技術、人員組合在一起,就無法保證基礎設施的穩(wěn)定性和服務級別,提高銀行的核心競爭力。①銀行IT管理的有關制度與快速發(fā)展的IT部門適應,組織管理割裂,職責不清,IT服務管理缺乏流程保障,維護人員忙于救火,缺乏主動服務;②IT系統(tǒng)缺乏長期規(guī)劃,更缺乏復雜系統(tǒng)的運維管理經(jīng)驗,關鍵人員的工作變動甚至造成技術空白;③IT部門是集運營、管理、監(jiān)督于一身的技術壟斷部門,一方面由于自身的專業(yè)性極強,高級管理層和風險控制無法對其實施有效監(jiān)管,另一方面由于IT部門即當裁判員又當運動員,集行政管理與技術管理于一身,無法勝任監(jiān)管職責,而且容易產(chǎn)生責任推諉、自行其事等不良風氣與行為;④缺乏既熟悉金融業(yè)務又精通信息技術的復合型人才,與信息科技快速發(fā)展不相適應。

三、規(guī)避信息化風險的建議

針對我國目前銀行IT部門所面臨的風險,可調整當前銀行業(yè)信息科技風險管理工作的重點內(nèi)容,以通過這幾點建議來規(guī)避銀行業(yè)的信息化風險。

1、完善IT風險的立法

為防范IT風險,確保銀行的正常運作,我們應借鑒發(fā)達國家的相關法律法規(guī),結合我們的具體情況,逐步建立和完善我國商業(yè)銀行IT風險監(jiān)管的法律體系?？稍趪液托袠I(yè)層次如信息產(chǎn)業(yè)部頒布的立法的基礎上,對已有的如《銀行法》、《票據(jù)法》等現(xiàn)有法律中涉及IT風險的法律進行修訂和補充。同時制定與國際接軌的IT審計標準,如可按照國際通用的信息技術審計標準COBIT,結合我國商業(yè)銀行業(yè)的具體實際情況,建立適合我國銀行業(yè)的信息技術標準,以運用IT審計規(guī)避商業(yè)銀行的信息化風險。除此之外,還應制定相應的IT操作指南,正確指導操作人員的工作,確保信息系統(tǒng)的正常運行。

2、完善信息科技技術,進一步提高信息科技在銀行IT部門的應用

對于IT部門來說,提供的服務一般是無形的,表面上并不直接對組織的經(jīng)營情況產(chǎn)生影響,無法用實際價值來衡量其貢獻度,但完善信息科技技術在銀行的運用,將對銀行業(yè)的發(fā)展帶來不可估量的前景,IT技術的健全對商業(yè)銀行來說具有不可替代的作用,也可以說是目前一個銀行發(fā)展的核心競爭力。

首先可以建立IT系統(tǒng)支持和故障維護知識庫,通過對故障解決方法的積累,在全行間實現(xiàn)共享,提高技術人員排除故障的效率和能力,其他用戶也可以參考實現(xiàn)“自助式”排除常見故障。

其次實時監(jiān)控全行的IT基礎架構,出現(xiàn)異常情況時能夠按預先設置的方式及時產(chǎn)生明顯的報警信號,自動生成服務請求單,通知相關人員。同時對故障信息進行分類、過濾,準確分析事故原因,降低因人為判斷失誤造成的風險,提高排除故障的效率和準確度。

最后對銀行范圍內(nèi)的網(wǎng)絡連接、運行狀況進行監(jiān)控和管理。包括各級分行的路由器、交換機、網(wǎng)絡防火墻等設備的安裝情況、系統(tǒng)連接情況、設備運行狀態(tài)、設備參數(shù)調整與備份等,特別應關注與第三方等外來連接情況的監(jiān)測,如發(fā)現(xiàn)存在不安全因素應及時報警,并采取應急預案,以確保系統(tǒng)的安全運行。

3、完善IT科技體系,建立風險管理信息系統(tǒng),提高風險控制能力

隨著銀行機構的各級管理部門和管理人員對經(jīng)營管理信息化的要求越來越高,經(jīng)營管理和科學決策對管理信息系統(tǒng)的要求也越來越高。完善的信息科技體系不但能夠提升銀行機構經(jīng)營管理水平,還能提高其風險控制能力。①強化以風險管理、客戶關系管理、績效考核和報表體系改革等為核心的重點項目建設,為業(yè)務管理提供全面的業(yè)務信息,為客戶營銷提供技術支持,為管理層決策提供科學依據(jù)。②建立IT與業(yè)務部門的伙伴型關系,把支持業(yè)務發(fā)展、金融創(chuàng)新作為IT建設及信息科技內(nèi)部控制的一個目標,擺脫IT部門被動救火隊的角色。③通過加強數(shù)據(jù)標準、信息分類編碼標準和用戶視圖標準等標準的制定,保障各類信息標準的統(tǒng)一,提升科技管理的規(guī)范化水平和效率,提升應用系統(tǒng)質量,確保系統(tǒng)的安全和穩(wěn)定運行。

4、提高風險意識,加強管理,加大復合型專業(yè)人才培養(yǎng)力度

信息科技部門的全體員工首先要認真學習全面風險管理理論,樹立全面風險管理的意識。風險意識是任何一個風險管理流程的起點。在風險管理中,風險管理不僅是管理層的工作,也是全體員工的責任。①對全體員工都要進行必要的培訓使其具備必要的技能,來管理自己所負責的風險,在員工加入公司的入門培訓中,就應該開始風險管理的教育。另外還可以將薪酬與風險掛鉤,將薪酬與獎勵同公司與個人的業(yè)務和風險管理表現(xiàn)相聯(lián)系。②挑選部分經(jīng)驗豐富的技術骨干,對他們進行專業(yè)信息安全管理培訓,使員工對業(yè)務信息系統(tǒng)的了解、計算機專業(yè)業(yè)務知識和風險管理結合于一體,提高職工個人的抗風險能力。

5、IT風險預警系統(tǒng)的建立

建立IT風險預警數(shù)據(jù)庫,對銀行業(yè)IT風險事故進行科學的分類,采用數(shù)據(jù)挖掘技術對銀行的IT風險進行監(jiān)測和預警。建立一個包括安全策略、安全配置管理、事態(tài)安全檢測、應用程序、數(shù)據(jù)庫管理、系統(tǒng)平臺、網(wǎng)絡通訊和物理設施等要素的一個預警指標體系,采集和統(tǒng)計國內(nèi)外銀行甚至相關行業(yè)如商業(yè)、財稅、會計等安全性風險的數(shù)據(jù),科學地建立我國商業(yè)銀行風險預警數(shù)據(jù)庫,確定IT指標的預警門限值,從而建立一套IT預警系統(tǒng)。該系統(tǒng)應該可以通過科學的網(wǎng)絡服務審計功能能夠檢測識別大部分黑客使用的網(wǎng)上入侵手段,記錄其入侵的源地址、攻擊的類型、攻擊的目的、攻擊的時間等信息,一旦發(fā)現(xiàn)入侵跡象等可能面臨

威脅,則及時向銀行IT管理部門發(fā)布銀行IT風險預警信息。

在經(jīng)濟全球化的今天,金融電子化程度的日益提高以及數(shù)據(jù)集中體系的加大,信息技術風險控制已成為銀行業(yè)金融機構風險管理的重要內(nèi)容,銀行IT部門亦越來越不可或缺,IT部門對銀行信息系統(tǒng)科技的風險控制,加強了銀行業(yè)務運營風險的防范,只有積極去迎接、應對和解決不斷出現(xiàn)的各種風險,才能在這個網(wǎng)絡經(jīng)濟時代促進銀行業(yè)的新發(fā)展。

參考文獻

[1]李翔,商業(yè)銀行IT治理初探,濟南金融,2006年第8期

[2]嚴峻,我國銀行業(yè)IT風險管理現(xiàn)狀、趨勢與對策,金融電子化,2007年第8期

[3]曹志鵬,金融危機對銀行IT建設的挑戰(zhàn),商業(yè)銀行

第五篇：社區(qū)便利店需要規(guī)避風險建議

需要規(guī)避的風險建議

① 定位：分析不同檔次的社區(qū)，以及社區(qū)和寫字樓便利店針對的客戶不同之處，形成有差

異化的產(chǎn)品品類及服務定位，不可一概而論。

② 在考察市場和研究便利店品牌經(jīng)營模式基礎上，一定要建立一整套成熟的連鎖店運作管

理制度、管理標準和管理方法。如供貨商選擇，片區(qū)集中的供貨點建立，連接總部、分店、供貨商及數(shù)據(jù)分析的智能化電子系統(tǒng)的運用，以及客戶服務理念、服務標準、服務考核、分店培訓等等分解動作的細化。

③ 前期直營方式，選取中高檔社區(qū)試水，待模式成熟后，走規(guī)模化經(jīng)營的路線，搶占銀川

便利店市場份額，以最小的投入進行最快的擴張，降低投資風險，比如對于已經(jīng)成熟的社區(qū)便利店，可采取加盟方式，將其改造成統(tǒng)一標識、統(tǒng)一配貨、統(tǒng)一服務理念、統(tǒng)一經(jīng)營管理、統(tǒng)一產(chǎn)品研發(fā)和更新的加盟改造店。這樣，一方面新社區(qū)直營方式保證了穩(wěn)健的發(fā)展戰(zhàn)略，另一方面成熟社區(qū)的加盟方式又可快速形成規(guī)模效益，搶占銀川市場。④ 便利店品牌入市之前，統(tǒng)一宣傳，集中品牌造勢，集中化推出首期如20家分店，也為

后期加盟奠定基礎。

⑤ 因門店面積有限，所以切勿因積壓庫存而占取門店面積，需要提高商品周轉率,減少庫

存，這就需要智能化的系統(tǒng)及有效的物流配送體系提供保障。

⑥ 在業(yè)務開展初期，還需要有一定的虧空預算和心理準備。