摘要:信息系统风险是在商业银行的日常经营中客观存在的。因此,商业银行必须提高自身的管理与控制水平。通过阐述商业银行信息系统风险模型,提出了相应的评估方法与风险控制措施,并提出了“持续风险管理”的理念,以及具体的操作方法。
关键词:商业银行;信息系统风险;控制
为了有效防范银行信息系统风险监管,银监会正式颁布了《银行业金融机构信息系统风险管理指引》,以促进我国银行业信息系统安全、持续、稳健运行。作为基层银行,就要认真学习商业银行信息系统的特点,建立适合商业银行风险特征的评估模型,运用先进的风险评估方法,逐步完善信息系统风险评估的流程,并通过信息系统风险评估的手段,保障企业信息资产的安全,确保系统数据的完整,使商业银行适应复杂的运行环境,满足日益强化的风险管理需要。
一、商业银行信息系统风险模型
商业银行信息系统风险评估模型基本上可以划分为基于业务风险控制的风险评估模型和基于信息技术控制的风险评估模型。商业银行信息系统按业务划分,主要业务模块包括柜面业务系统, atm、pos、网上银行、电子商务支付和客服中心等,其中柜面业务子系统包括:存取款、贷款、信用卡、中间业务、国际业务、结算、代收代付等。其商业银行的业务功能结构如图1。
以上可以看出,基于业务风险控制的风险评估模型是针对业务流程的控制和业务的风险管理,是信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于管理缺陷产生的操作、法律和声誉等风险[1]。wWW.11665.coM
另一类是关于技术控制的风险评估模型。这类模型建立在相关的信息安全标准之上,主要考虑的是安全技术的实现架构和实现方式,并以此来评估系统的技术风险。银行的安全架构是由物理设备安全、网络安全、交易安全和数据完整性安全等,其中交易安全包括:密码技术、身份认证和安全交易技术。其层次结构如图2。
随着信息技术应用的普及,网上银行、手机银行飞速发展,随着银行业务的拓展,各种中间业务等银行新型业务和金融产品的出现,银行信息系统开始不同程度向外界开放,对银行开放信息系统的依赖越来越强。加上各商业银行实行数据大集中,将过去保存在基层的存贷款等业务数据集中到高层数据库存放,导致单笔交易所跨越的网络环节越来越多,银行信息系统对通信网络依赖程度越来越高。
电子金融服务的发展,使商业银行信息系统开放运行,与公共网络连接,暴露在公共网络具有各种威胁底下,网上银行、手机银行、电子商务支付等银行新业务,在成为商业银行利润增长点的同时,导致银行信息系统的风险剧增。商业银行对信息系统的安全性要求进一步提高。
二、商业银行信息系统风险评估方法
商业银行在面对实际的信息风险时,需要建立定位于信息全面管理的风险评估模型。信息系统风险管理的目标是通过建立有效的机制,实现对信息系统风险的识别、计量、评价、预警和控制,推动银行业金融机构业务创新,提高信息化水平,增强核心竞争力和可持续发展能力[1]。因此,必须兼顾业务风险模型和技术风险模型的相关方法,建立一种银行信息系统风险识别模式,用于发现系统自身内部控制机制中存在的薄弱环节和危险因素,发现系统与外界环境交互中不正常和有害的行为,找出系统的弱点和安全威胁的定性分析;必须建立一种银行信息系统风险评价模型,用于在银行信息系统风险各要素之间建立风险评估,计量风险的定量评价方法。
根据商业银行信息系统风险模型,其中基于业务风险控制的风险评估模型主要针对银行业务具体处理,其风险识别是观察每一笔具体的业务数据,也可以转化为银行资产的差错;其中基于信息技术控制的风险评估模型主要针对安全保障技术,其风险识别是找出系统可能存在的不安全因素。据此,可以推理出系统风险评估模型为:
商业银行信息系统风险评估模型由四个模块组成:业务差错识别模块负责找出每一笔已经发生的差错业务,其方法是通过业务差错发现和资产调查寻找每一笔差错业务,修正商业银行信息系统运行错误;威胁分析模块负责寻找技术安全威胁,用安全扫描来找出安全漏洞,用入侵检测来发现受到的侵犯;安全分析模块负责对系统设置的安全策略进行分析,对系统内部运行的软件进行分析;系统安全评价模块在前面三个模块分析结论的基础上由银行风险因素诊断指标体系[2]得出系统安全评价量化指标。
该商业银行信息系统风险评估模型的特点主要是:1.业务风险评估和技术风险评估同一量化构成信息系统的风险,便于系统的横向比较;2.采用自动化的检测评价为主的方法,对于硬件的风险和人为的风险,可以加入人工评价修正,有利于实时监控;3.系统简洁,事前预防和事后发现相结合,可行适用。
三、商业银行信息系统风险控制措施
通过
风险评估,可以进行风险计算,计算出大致成本,控制防范风险就是要采取行动,并得到资金的支持。银行业金融机构应根据信息系统总体规划,制定明确、持续的风险管理策略,按照信息系统的敏感程度对各个集成要素进行分析和评估,并实施有效控制[1]。
在硬件方面控制风险,首先要选择合适的供应商,选择满足安全要求的解决方案。在网络安全方面,要将银行内部网络与银行外部网络隔离,通过防火墙或者代理服务器连接。通过隔离连接容易实现数据检查,减少系统暴露面,发现问题系统及时报告及时处理。在银行信息系统建设上,可以借鉴成熟的运行系统,采用成熟的信息技术,银行业金融机构应重视知识产权保护,使用正版软件,加强软件版本管理,优先使用具有中国自主知识产权的软、硬件产品;积极研发具有自主知识产权的信息系统和相关金融产品,并采取有效措施保护本机构信息化成果。[1]
在银行信息系统运行方面,银行业金融机构应建立健全信息系统相关的规章制度、技术规范、操作规程等;明确与信息系统相关人员的职责权限,建立制约机制,实行最小授权。[1]
银行信息系统风险管理要坚持持续管理风险的理念,银行信息系统风险的存在是会随着时间和环境的变化而不断变化,持续管理就是要跟随环境的变化。建立持续管理策略,就是在银行信息系统中,不断地进行评估。不断地实施pdca循环,即计划(plan)、实施(do)、检测(check)、改进(action)四个进程。安全控制的境界不能放在不断纠正错误上,应该放在预防上,就是要不断检测,不断发现不安全因素,不断地改进,使系统符合变化环境下安全需求。
参考文献:
[1] 中国银行业监督管理委员会.银行业金融机构信息系统风险管理指引.银监会313号文件,2006.11.1
[2] 雷宏.网络银行风险状态诊断方法研究[j].山西大同大学学报,2009,10(5):89
论文网在线:
