时间:2023-03-01 16:33:23
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇电子银行科技部工作范例。如需获取更多原创内容,可随时联系我们的客服老师。
关键词:商业银行;客户服务与管理;IT支持体系
一、 构建IT支持体系的原则与重点
当前,我国商业银行的客户主要分为三类:集团及战略客户、一般机构客户、中小企业及零售客户。其中,集团及战略客户属于我国商业银行的重点客户。当前,受到信息科技部门资源有限的约束,在IT资源不足的条件下,应按照客户的贡献度、重要程度等指标进行客户分类管理,为不同类别的客户提供不同的信息,以满足不同客户的需求。客观上,信息科技部门的发展通常会经历单项应用阶段、跨部门整合阶段和战略规划阶段。在不同阶段,IT支持体系的原则也有所不同。
1. 单项应用阶段。在单项应用阶段,商业银行对信息科技部门的要求集中于技术层面,包括软件系统、硬件系统的运行与维护,软件系统、硬件系统故障的排除,即“消防队员”的角色。此时,商业银行信息科技部门创新的原则为:(1)保障全行业务安全平稳运行与发展;(2)优先保障重点客户的需求。
2. 跨部门整合阶段。在跨部门整合阶段,在保证数据库安全与稳定的同时,信息科技部门还需要满足用户对高级技术支持和信息及时到位的需求,信息科技部门的目标逐渐转向管理职能。此时IT支持体系创新的原则为:(1)在力所能及的情况下,根据成本和效益相匹配的原则,尽力解决自身和内部其他部门的新的IT需求;(2)在满足重点客户的需求下,解决绝大多数客户普遍的需求。
3. 在战略规划阶段,信息科技部门从技术服务部门转变为跨信息技术和业务的管理部门,并逐渐从支持保障部门过渡到战略部门。此时信息科技部门已经能够满足绝大多数客户的需求,并以IT支持驱动业务的发展。(1)保障所有客户提出的合理需求。(2)能够根据信息科技的最新发展,主动提升对客服的IT服务与支持,提升内部管理的效率,增加业务的附加价值、延长业务价值链。
我国银行业正处于从单项应用到跨部门整合的过渡阶段,兼具两个阶段的特点,此时的客户管理与服务创新的重点应该是提升信息部门的效率,以保证信息科技部门能够在保障全行业务安全平稳运行的基础上解决客户的普遍需求。
二、 IT支持体系的基本框架及主要内容
根据现代银行业的实践,在上述IT支持体系构建原则的指导下,我国商业银行应该从制度建设、组织建设与信息科技建设等几方面构建客户服务与管理创新的IT支持体系。具体地,在制度建设方面建立和完善人力资源管理、首席信息官制度;在组织建设方面能够准确定位并且提供高质量、高效信息服务的信息科技部门;在信息技术建设方面建立能够提高客户满意度的客户关系管理系统。
1. 制度建设。
(1)人力资源管理。①明确人力资源计划目标。科学制定与信息规划相适应的人力资源计划,有利于改变IT部门人力分配不合理,知识结构性矛盾突出的问题,为银行业务信息化建设提供人力保证。②合理的人才需求结构。合理的、相互匹配的人才需求结构有利于互不专业人才群体的形成,同时高度细化分工的信息科技团队可以实现商业银行经营信息化的目标。③持续的复合型人才培养。信息人才的素质和能力需要企业管理层与信息部门有计划地进行开发与培养,,我国商业银行可使专业人员通过实践,通过持续学习培养信息科技人才。
(2)首席信息官制度。首席信息官制度,即在高级管理层设立首席信息官一职,直接对行长负责,领导信息科技工作,并制定和实现商业银行的信息化战略,使信息科技因素能够成为各项相关业务的决策依据,从管理的角度提升信息科技的重要性。首席信息官的具体职责主要包括以下方面:①制定企业信息化战略、规划和技术方案;②实施企业信息化战略、规划和技术方案;③开展企业信息化管理与服务
2. 组织建设。从组织建设来讲,科学的IT支持体系的核心是商业银行合理定位IT部门。对于现代银行业来说,IT部门终将成为战略部门。因此,IT部门与业务部门是“鱼和水”的关系。在未来的发展中,IT部门不应仅仅充当“消防员”的角色,而是应当围绕建设客户中心型的信息化银行这个目标做出变革。
在“互联网+”时代,全社会的经商环境更加信息化,这就要求必须尽快建成全面信息化的银行。也就是,IT部门除了要负责领导银行的信息化和系统运维之外,还要拟定信息科技发展战略,将商业银行信息科技的发展作为全行发展的战略任务。同时当好银行的“智囊”,承担传统信息科技技术职能和决策支持部门的职能。
IT部门的职能应当符合目前金融信息化的战略目标,科学划分各职能之间的界限,缩小部门间由于信息传递损失导致的沟通不畅。按照信息科技部门作为我国商业银行决策支持部门的定位,应当将承担传统信息科技技术职能和决策支持部门的职能划分为:(1)IT系统基础设施的运营与维护;(2)维护IT系统数据库;(3)规划IT系统总体功能结构;(4)为企业决策提供IT支持;(5)规范与标准化相关技术标准;(6)企业职员信息化培训;(7)制定、完成企业信息化战略;(8)领导企业信息化工作,再造企业工作流程,推动企业变革。
3. 信息技术建设。“以客户为中心”是银行开展业务的出发点和归宿。我国商业银行要想从日益加剧的市场竞争中获得比较优势,营销理念就必须从传统的关系营销向现代的服务营销转变。随着金融服务业的外延不短扩展,金融机构内部的界限也逐渐模糊,银行业金融机构也逐渐向横管银行、证券、保险行业的综合性金融服务机构发展。在传统金融业面临着具有较低成本优势的的互联网金融的冲击,金融业日益开放的背景下,完善客户关系管理系统,运用大数据技术,拓宽客户服务渠道,必将成为IT部门信息技术建设的重点。
(1)建设科学高效的客户关系管理系统。客户是银行最重要的资源,在日益激烈的市场环境中,商业银行越发重视市场拓展与维护,相应的,识别客户贡献度、吸引有价值的客户并维护好客户管理就成为银行利润最大化的必由之路。因此,开发包括分析型客户关系管理(ACRM)系统和分析型客户关系管理系统(OCRM)在内的客户关系管理系统,利用现代信息技术的手段对客户数据整理、分析并用其做出响应的决策,开展相关业务就势在必行。一个具有完备功能的客户关系管理系统通常在以下几方面能够帮助商业银行进行客户关系管理:①促进银行产品创新、再造工作流程、提升营销服务水平;②批量处理、分析客户相关信息;③根据不同需要从数据库中提取数据进行分析;④整合分散在各独立系统中的数据资源,实现数据共享;⑤通过多渠道综合比对分析形成统一客户视图。
①客户关系管理系统与数据整合。客户关系管理系统将各独立交易系统中的数据以合意的方式整理、加工、保存、更新,使得各个信息系统的协同运作成为可能。
②客户关系管理系统与流程再造。CRM的理念就是要以“客户为中心”,客户关系管理系统从运营、决策等多方面再造流程,对工作方式产生了根本性变革。
③客户关系管理系统与服务创新。客户关系管理系统使得企业可以根据客户的行为习惯、偏好、运营特点等有针对性的提供差异化服务。
(2)充分运用大数据技术。大数据、云计算等新技术有利于银行更好地服务客户,进一步拓展银行业务的价值链。不少著名的跨国银行已经将大数据技术应用至风险评估、产品创新、决策支持、差异化营销等多个领域。①风险评估。银行可以利用大数据增加信用风险输入维度,提高信用风险管理水平,动态管理客户的信用风险,降低违约概率,同时预防信用欺诈。②差异化营销。银行可以依据大数据分析,预知企业客户未来资金需求,提前进行预约,提高客户体验。可以依据大数据分析报告,进行差异化营销,提高客户满意度。③需求分析和服务创新。可以利用整体样本数据,如从客户行业,收入,所在地,行业,资产,信用等各个方面对客户进行分类,依据其他的数据输入维度来确定客户的需求来定制产品。④运营效率提升。大数据可以展现不同产品线的实际收入和成本,帮助银行进行产品管理。还可以帮助市场部门有效监测营销方案和市场推广情况,提高营销精度,降低营销费用。⑤决策支持。大数据可以帮助商业银行为即将实施的决策提供数据支撑,同时也可以依据大数据分析归纳出规律,进一步演绎出新的决策。
(3)增加客户服务的渠道。对于银行业来说,电子银行服务能够在提升服务效率的同时,提升客户体验,有效降低服务单位客户的成本,是实现多渠道客户服务的重要手段。
电子银行业务较之于传统柜面业务有如下特点:①互联网技术的广泛应用。电子银行突破了物理条件对银行服务时间、服务地点和服务能力的限制,使得大量银行业务的办理脱离了银行网点,从面对面的服务方式改为用户通过事先获得的电子证书获得更为便捷、高效的金融服务。②用户的便捷自助操作。电子银行业务将商业银行从大量的固定资产与人力成本中解放出来,降低了商业银行提供金融服务的成本。从客户角度来看,电子银行业务优化了业务办理流程,通过电子渠道,客户可以自主办理金融业务,提升了金融服务的便捷性。同时,电子银行服务使得客户摆脱了时间和空间对办理业务的限制,解决了全球一体化下金融交易可以全天进行,而金融机构还处在8小时工作制下的茅盾。③科技含量的投入使得边际成本低。对于电子银行来说,所能提供的服务种类和服务功能越多,所提供的服务越安全和便捷,客户黏性就越大,所能吸引到的客户就越多,因而为单个客户提供服务的成本随着客户规模的扩大也逐渐趋于零,形成正反馈。④电子银行的发展提升了对复合型人才的需求。互联网时代,商业银行之间竞争的关键在于人才,而电子银行是信息科技与银行业务结合的产物,因而随着电子银行业务的发展,更加需要既懂金融业务,又懂IT业务的复合型人才。
三、 我国商业银行客户服务与管理创新IT支持体系的实现路径
当前,根据我国商业银行的实际情况,构建科学高效的客户服务与管理创新的IT支持体系,应该通过以下路径来实现:
1. 建设一支高素质、复合型IT人员队伍。(1)培养一支高素质、懂银行业务、IT技术能力强的复合型人才队伍,在前台业务部门、风险控制部门以及一些关键岗位配置信息科技部门人员。(2)完善信息科技人员业绩激励机制,拓宽信息科技人员发展空间。建立职务、职级与职称并行的薪酬体系,打破信息科技人员晋升的“天花板”。(3)明确核心能力发展要求,完善人才培养机制。基于信息科技发展战略明确信息科技人员核心能力要求,科学制定信息科技人才培养方案。做好需求管理,加强专家级领军人才的内部培养与外部引进。(4)针对不同岗位的需求,制定更为细分和差异化的培训目标,建立涵盖入职与履职全方位、立体的培训体系。并结合业界最新变化调整培训方案与培训目标。
2. 向首席信息官制度过渡,提高我国商业银行信息化水平。当前,我国商业银行信息科技部门已经可以满足内部客户和外部客户的绝大多数需求,正处于从“单项应用”阶段到“跨部门整合”阶段的过渡期。为了提升我国商业银行的信息化水平,实现银行业务向信息驱动模式转换,适应“互联网+”时代的客户需求新变化,继续保持在国内外金融市场的优势,应当考虑建立起首席信息官制度,负责领导IT部门制定、完成企业的信息化战略。
增设一名高层管理人员涉及很多需要考虑的因素,同时还要履行相关的组织程序和法律程序,审批流程所需时间较长。因此,可采取渐进式方式向首席信息官制度过渡:例如,设立银行信息科技委员会(领导小组),由商业银行主要负责人或分管领导任委员会(领导小组)主任(组长),由委员会(领导小组)领导信息科技工作。
3. 明确IT部门的定位,构建能够动态满足客户主要需求的组织架构。本质上来说,企业信息化的程度要与企业信息科技部门的定位相匹配。企业信息化程度与信息科技部门的不匹配会造成企业资源的错配,降低了企业资金运用效率与企业的工作效率,对企业信息化发展无益,因此应合理调整IT部门在银行业务与经营中的定位。在信息技术飞速发展的今天,IT部门的定位不应当只是“救火队员”的角色。IT部门在加强管理信息系统建设的同时,必须更多地了解业务部门的状况,积极疏通业务部门进行信息化整合后的业务流程,为各个业务部门提供一个共享的数据与信息平台。除了保障基本业务正常运行外,银行业务流程和客户关系管理再造也应该作为IT部门的一个重要任务。同时还应优化信息科技组织定位,根据银行业务部门的发展需要明确信息科技发展策略,依据内部控制与合规性的要求,建立涵盖IT风险管理、IT审计、IT专业技术的职能部门。提升信息科技的业务支持和决策支持功能。
4. 全面建立分析型客户关系管理系统。当前,我国商业银行以使用操作型客户关系管理系统为主,多个系统间的数据形成了信息孤岛,数据价值没有得到充分挖掘。因此,应当全面使用能够对数据价值深度挖掘的分析型客户关系管理系统(ACRM),为业务运营和决策提供支持。
在统一的系统下建立相互联系的子系统模块,模块之间既有相对的独立性,又在统一系统下共享数据相互联系。建立数据仓库,为识别客户贡献度,细分客户类型,管理层决策储备相关数据。同时参照国际通行模型开发符合本行情况的客户贡献度模型,综合考虑与收入成本相关的多个因子,为提升决策水平、开展营销服务提供依据。
5. 运用大数据技术强化我国商业银行的IT服务能力。利用大数据技术提升营销服务水平。一是拓展客户资源。通过对大数据的获取与处理,我国商业银行可有效扩展客户信息接触面,获得更多市场机会;二是获取全面的客户画像,真实呈现客户身份、资产、喜好、情绪、行为、社会关系等“立体视图”。三是开展精准营销。
利用大数据技术强化风险管理能力,通过对大量数据信息的深度挖掘,可以有效识别授信人风险,提升整体的风险防控能力。利用大数据技术优化运营管理模式,可以利用大数据提高决策效率、优化处理流程、提高对市场的反应速度。
6. 强化电子银行渠道,为客户提供更好的安全便捷服务。(1)提高呼叫响应系统的服务质量。在未来我国商业银行电话呼叫中心和网络平台咨询服务体系应拓展为跨多种终端设备的交互系统,能够向电话、PC和移动端等多种终端设备提供咨询投诉等服务;(2)提升电子银行的客户吸引力。随着客户对全能银行服务的要求提升,银行业金融机构所能提供服务数量和质量都会影响资金的沉淀量。因此,银行信息科技部门需要与业务部门共同努力丰富网上银行所能提供的产品和服务,使商业银行能够提供更多元的电子金融服务。
参考文献:
[1] 雷陈光,陈运娟.大数据时代下商业银行客户关系管理思维变革[J].金融与经济,2015,(4).
[2] 侯敬文,程功勋.大数据时代我国金融数据的服务创新.财经科学,2015,(10).
[3] 周林洁.金融集团信息科技机构组织设计与管理模式研究――以平安集团、花旗银行和汇丰银行为例.南方金融,2014,(9).
[4] 骆鹏.成都银行IT治理研究[D].成都:西南财经大学学位论文,2010.
[5] 严盖.我国商业银行服务管理问题研究[D].成都:西南财经大学学位论文,2012.
1.1缺乏必要的应急机制保障尽管农村金融机构都会制定系统应急预案,但往往忽略配套的应急培训,缺乏有效的应急演练和压力测试,一旦紧急事故发生,对问题的及时完满处理就得不到保障。有些农村金融机构制定的系统应急预案存在着涵盖面过于笼统,在针对性和可操纵性方面存在着不足,这又直接关系着问题的处理效果。更多的农村金融机构在业务连续性方面缺乏有效的技术支持,只局限在网络及数据的备份层次,没有灾备,再者管理组织不够完善,一旦发生重大风险,就难以完成应急的有效性。这些情况都严重影响着应急执行效果,对风险的有效排除和危机的处理难以保障。
1.2缺乏健全的组织机构及岗位设置我国农村金融机构对科技部门重视不足,普遍存在科技部门人员配备不足的现象。一个科技人员往往身兼数职,在重要岗位经常发生AB岗位制度难以落实的情况。虽然有风险管理部门的设置,但该部门一般只发挥管控资产、负债类业务风险的作用,不涉及信息科技风险职能。农村金融机构应该高度重视科技风险管理工作,设置更健全的组织机构和岗位,不能让科技部门既是信息系统的建设者和维护者,又是信息科技风险的管理者,因为这样会在形成有效的制衡机制、有效识别并量化可能存在的信息科技风险方面存在着不足。
1.3科技从业人员素质相对偏低目前我国农村金融机构科技部门普遍存在着从业人员专业素质偏低的现象。现有的从业人员工作重点主要体现在日常基础性设备和网络工作的维护,更多掌握的是系统设备维护、机房管理等常规性工作,忽视了专业化的信息科技风险培训,因而对信息科技风险管理知识和相关专业知识相对缺乏,对信息科技管理、规避科技风险等管理性工作涉及较少,很难有效及时认识到各项系统存在的漏洞,更别提全面隐患的排查和消除。
1.4基础设施安全建设存在隐患基础设施安全的隐患主要体现在两方面:一是机房管理不善;二是网络运行安全性不高。我国农村金融机构的机房普遍存在着防火、防水、供电等不达标的现象,没有设置相应的防雷系统,门禁系统缺失、监控盲区的存在等等,这都是机房管理安全急需解决的问题。在网络运行方面,由于数据的大集中,对农村基层网络的稳定性和通畅性都提出了更高要求。现实情况是,农村金融机构存在未按监管要求配置主备通讯线路现象,这样导致基层网点出现不能正常办理业务的可能性增大,造成不良的影响。
1.5电子银行风险管理不到位信息科技的出现为农村金融机构各项业务的丰富和高效提供了方便,促进了我国农村金融机构信息科技建设的飞速发展。随着信息科技在各个业务领域的不断深入,农村金融机构的业务呈现飞速增长趋势,尤其是信息科技的优势体现——电子银行的应用。在这样的环境下,多数农村金融机构的管理重心都放在了传统业务发展方面,疏于电子银行风险的管理。虽然制定了电子银行相关的各项管理制度,但在具体的执行上,仍然存在着严重的不到位情况,加上人员配置的不够,最终直接导致电子银行风险管理缺失。因此,目前我国农村金融机构中的电子银行风险处于多发、高发期。
2农村金融机构信息科技风险防控策略
2.1增强风险防范意识,加大风险管理投入信息科技工作对农村金融机构经营起着重要基础和保障作用,必须充分认识信息科技风险防范在金融机构监管中的重要性。农村金融机构高层管理者必须提高信息科技风险防范的思想认识,对信息科技风险的管理加深了解,加强信息科技风险监管工作的管理工作,最终将信息科技风险管理工作纳入日常经营中去。同时,要加强信息科技安全建设方面的投入,及时消除信息科技系统所面临的各种风险和隐患,保障农村金融机构的稳步和连续性运行。
2.2完善应急预案,加强应急演练农村金融机构要细化危机场景,完善应急预案,定期对信息科技人员开展应急管理培训,根据自身实际情况不断完善应急预案的内容,做到“责任明确、流程明确、预案明确、报告明确、联络明确”,并确保预案的具体性和可操作性,从业人员在不断进行应急预案演练的过程中,不断提高自身的应急能力、抗风险的能力和处理突发事件的能力。另外,为了确保信息系统业务的连续性,农村金融机构还要加强业务连续性管理,根据自身真实状况加强业务连续性体系建设,制定切实可行的业务连续性计划,并定期不定期开展业务连续性应急演练。
2.3增强从业人员专业素质,加强岗位管理针对高素质专业从业人员不足和岗位配置不足的问题,一是加大农村金融机构的人员投入,引入高素质的信息科技人员,同时加大从业人员的培训力度,培养一批专门从事信息科技风险管理工作的专业人才。其次是增加管理、运行、维护等岗位人员的配置,关键岗位设置有效的AB岗位,满足岗位需求。最后,根据《商业银行信息科技风险管理指引》要求,完善相关信息科技风险管理管理制度,加强信息科技风险审计,最终形成人员控制、制度保障、审计监督三位一体的信息科技风险管理模式。
2.4加强基础设施建设,提升基础设施安全水平重点加强机房电力、UPS、消防系统等关键机房环境设备安全的保障,针对基础设施不完善的情况,农村金融机构要采取有效措施改善,保障业务系统工作的连续性。同时完善机房管理制度,实时监控各种设备的运行状况,做到对设备故障的有效预测和报警。还要组织专业人员定期对基础设施进行风险排查,检验基础设施相关的安全、流程和管理措施漏洞,确保基础设施安全管理有效性
2.5加强电子银行风险防范农村金融机构要采取必要手段防范犯罪分子利用银行卡、网上银行、ATM、POS等金融机具实施的不法活动。一方面,可通过提高网络安全、网上银行身份认证等级、合理制定POS、ATM和网上银行的交易限额等技术手段加强防范,另一方面可借助通过公众金融服务教育和柜面宣传增强风险防范合力,加强审查力度,强化电子银行业务风险防范。
一、明确工作目标,今年科技工作取得较好成绩。
(一)以实现监管技术变革为目标,积极组织“银行监管信息系统”推广。分局专门成立了推广工作领导小组,设置了确保该系统顺利实施的培训教育、监督考评、技术保障等多个工作组,在系统试运行时,又采取明确分工、各司其责、领导督促、科技把关等工作措施,从而圆满完成今年三个子系统的推广:一是该系统的基础工程“机构”、“高管”子系统于2月正式上线运行,如期将辖内723家银行机构、303名高管人员纳入自动化管理。截至11月,共录入基础数据1026条,实现网上审批事项127次。在基础数据录入中,科技部门承担了大量的数据审核和改错工作,共修改、补充数据661条。二是法人非现场监管子系统于11月完成第一次数据上报。由于推广这套子系统时间紧、任务重,科技部门加班加点,仅用四天完成了对13个法人信用社的环境测试、系统安装和操作培训,有效保证了该子系统的成功试运行。
(二)以信息充分共享和快速传递为目标,大力加强信息平台建设和网络维护。按照“三统一、一共享”原则,分局在充分利用上级信息化建设成果的同时,亦加强了自身的信息化建设。主要从三方面入手:一是建立分局局域网网站。经过一个多月紧张的技术攻关,分局网站于8月份正式开通。根据需求设立了“分局动态”、“政务信息”、“科室工作”、“统计信息”等多个栏目,可以实现信息披露、通知公告、学习交流等多项功能。至11月末,该网站注册会员54名,新闻管理员13名,各类信息500余篇,网站累计浏览量突破1万人次。同时还开发了分局的博客网站,为分局员工创造了一个展示个人风采的平台。二是开设辖内银行业金融机构邮件系统。在省局提供硬件环境的基础上,分局及时开设了辖内金融机构邮件系统,一举改变了与金融机构通信依赖人行网络或人工传递的局面。目前全辖共开设电子邮箱80个,其中对邮政储蓄和信用社的邮箱开设还延伸至县级机构。三是高度重视网络维护,确保信息传递畅通快捷。因线路老化、临时机房环境差等问题,常发生网络中断故障,导致科技部门的网络维护量较重,全年共进行网络维护和抢险27次,实现了网络故障零通报。目前,分局已建成上至银监会,下达监管办,内联各科室,外接各金融机构的大联网格局,消除了“信息孤岛”,基本实现了“信息就在指尖”。
(三)以电子办公高效安全运行为目标,切实做好日常计算机技术服务。技术服务是一项繁重和琐碎的工作,一年来科技部门克服人员少,工作量大的困难,采取四项措施保证全局电子办公正常运转。一是建成较完善的局域网防病毒系统,全年共安装、更新防病毒客户端90余台次,保障了网络和信息安全。二是及时排除各种设备故障,解决各类微机操作疑难问题。据统计,全年电子设备软硬件维修、送修110余台次,疑难解答500余次。三是每年开展两次计算机信息安全保密检查。通过检查,了解计算机使用过程中的安全隐患,及时采取措施,防患于未燃。四是根据工作需要,及时购配必要的电子设备。截至11月,分局共购置了台式机和笔记本各1台,还采购打印机、移动硬盘、刻录机等零配件及耗材120余件,价值27万余元。每次采购都严格按照程序,网上询价后再进行商家竞价,力争把成本降到最低。
(四)以提高科技应用水平为目标,努力开展技术培训和机制建设。今年分局科技人员参加省局培训和考察达5期,自身举办各类技术应用培训4期,培训分局及金融机构人员70余人次,参训和培训力度为历年之最,分局科技应用水平有明显提高。此外,为规范计算机使用和管理,分局先后转发或制定了多项管理制度和建设指引,就科技工作的组织机构、人员管理、设备管理、机房管理、网络管理、运行管理、信息安全管理、档案管理等方面做了明确规定和具体要求,同时抓好落实,在执行中不断完善,为科技工作的有序开展、科技水平的逐步提高提供了有力的制度保障和良好的运转机制。
(五)以紧跟科技发展趋势为目标,建设新办公楼弱电系统优质工程。为把分局新办公楼弱电系统建成一个先进、灵活、可靠、标准的运行平台,分局科技部门结合《银监会机房建设指引》、《银监会视频会议室建设指引》、《银监会IP电话建设指引》等要求,按照全局性、整体性、扩展性和前瞻性的原则,按时完成了弱电系统的需求设计和招标书,并在随后的设计方案审查中,认真仔细,锱珠必较,反复修改十几稿,保证了该设计方案先进充分、功能齐备、布局合理、扩展有余,能完全满足今后3-5年的发展需求。施工期间,科技人员还经常到现场协助基建办开展工作,严格监督施工质量,如期推进工程进度。据统计,8-11月间共派出现场监理31人次,纠正施工误差200余处,解决问题和磨擦30余起,以有效的组织协调和技术手段,确保新办公楼弱电系统工程按期优质投入运行。
二、总结经验做法,为今后工作提供有利指导。
(一)工作部署上,坚持当前与长远并重。既要设计远期目标和长远规划,也要明确眼前任务和当年计划,结合辖内科技工作发展现状和形势,制定科技工作指导方针,明确努力方向,使各项工作有的放失。
(二)网络建设上,坚持借用与自建并重。在科技基础设施建设未完成之前,分局还必须借用人行网络资源,因此除加紧自身网络建设外,还必须重视对人行网络资源的使用和维护,以保证电子办公的正常运转和平衡过渡。
(三)设备配置上,坚持继承与新购并重。截至11月末,全局未报废台式机43台,人平仅0.54台,未报废笔记本55台,人平仅0.69台,远远无法满足工作要求。为此科技部门大力修旧利废,充分挖掘设备潜力,提高老型号微机的使用寿命,使57台已报废台式机、9台已报废笔记本仍坚守在工作岗位上,人平可用台式机和笔记本分别达到1.26台和0.81台,基本适应了各项业务和办公的正常开展。
【关键词】信息科技 内部审计 信息化
2000年以来,继四大行成功完成数据大集中后,各股份制商业银行纷纷加入数据大集中的行列,“科技兴行”、“科技引领”等理念不断冲击人们对商业银行信息系统的固有认识,电子银行渠道持续拓展,商业银行的业务流转也越来越依赖于信息系统的支撑。这些变化一方面使得信息科技在商业银行中的作用不断凸显,另一方面也使得商业银行的信息科技风险进一步放大。
继2006年中国银监会《银行业金融机构信息系统风险管理指引》将信息科技风险纳入商业银行风险管理范畴后,2009年银监会又正式《商业银行信息科技风险管理指引》(下文简称《指引》),进一步加强商业银行信息科技风险管理。2012年银监会宣布设立信息科技监管部,负责银行业信息科技监管督导和风险防范,信息科技风险监管工作不断细化、深入。监管部门对信息科技风险管理的日趋重视,客观上提高了商业银行信息科技风险管理工作的重视程度。
一、信息科技内部审计范围
《指引》提出了商业银行IT风险管理的“三道防线”,即IT管理、IT风险管理和IT风险审计。IT风险审计作为第三道防线分为内部审计、外部审计两方面。按照《指引》要求,银行内部审计部门应当设立足够资源与具有专业能力的IT内部审计人员,并独立于银行的日常活动。商业银行IT内部审计应该包括以下三方面:
(一)专项审计
专项审计是指对IT安全事件进行的调查、分析和评估。涉及重要业务系统、信息安全或审计部门认为必要的特殊事件都有必要展开IT专项审计。
(二)全面审计
应定期实施全行范围内的IT内部审计,应充分考虑业务性质、规模及复杂度,区分总行信息部门(数据中心)、分行、支行等各个层级,制定全覆盖的IT内部审计计划。
(三)重要项目审计
在进行大规模系统开发时,内部审计部应对系统开发的整个生命周期进行控制。包括项目前期的可行性研究、需求分析,项目开发,项目正式上线后的业务及运维。实际操作中,可以根据项目情况,对各项目里程碑展开相应的审计工作。
可以看出,IT内部审计既有全面审计,也有专项审计,还包括重大项目审计,涵盖了银行IT的方方面面。
二、信息科技内部审计面临的困难
内部审计部门应当从上述三个方面入手,检查评估商业银行信息科技系统和内控机制的充分性和有效性,提出整改意见并检查整改意见的落实情况。近年来,商业银行根据《指引》做了大量工作,但是在信息科技内部审计方面仍然存在诸多困难。
(一)缺乏IT审计人才
银行普遍存在着IT审计岗位编制不足、IT审计人员招聘培养困难、IT审计人员专业技术能力不强等情况。IT审计力量的薄弱,极大地影响了IT内部审计的成效,甚至会出现IT内部审计过分依赖信息科技部门的尴尬局面。
(二)缺乏IT审计方法及规范
缺少规范的IT审计方法论,缺乏对整个银行信息系统的全局认识,在IT内部审计中会存在不知道审什么、不知道怎么审,不容易把握IT内部审计的重点,无法触及部分风险隐患。
(三)缺乏IT审计方向
现阶段银行的IT内部审计都是为了满足监管要求,没有站在业务驱动的角度,缺少为“科技引领”提供保驾护航的力度。
三、商业银行如何加强IT内部审计
面对上述困难与挑战,银行应当充分认识IT内部审计对银行的重要作用,内部审计部门主动加强与信息科技部门的共同协作,加强IT审计专业队伍的建设。
1.管理层及信息科技部应当认识到,IT内部审计作为IT风险审计的重要一环,是IT风险管理的重要组成部分,应当重视内部IT审计部门及岗位的建立,充分发挥其积极作用。对IT内部审计的有效管理,可及时评价IT整体风险管理的水平,可对开发项目进行事中控制,分析IT事件原因、提出整改意见并监督落实。信息科技部应该认识到,IT内部审计不是故意“挑错找茬”,它可以积极发现IT潜在的管理疏漏,有效降低IT风险发生概率,提高IT全员的风险意识和认知。
2.内部审计部门应当加强与信息科技部的沟通与协助,可以进行各种形式的、有益的探索与尝试。比如,在IT风险源的制定与风险库的建立方面充分发挥信息科技的能动性,甚至以信息科技部的意见为主。在此基础上,内部审计部通过各类IT事件的分析、IT专项审计等手段不断来丰富完善风险源。比如,加强与信息科技部的沟通,由其讲解IT最新技术发展、整体架构、变更管理与运行维护等,提高自身的专业技术水平及对本行IT工作的了解。比如,加强与信息科技部的沟通,从审计及监管的角度向管理层反映IT发展中亟待解决的难题,解决信息科技的实际困难。
3.银行应当加强IT审计队伍的建设。在内部审计部内设专门的IT审计岗,有条件的银行可以设立独立的IT审计部门。不仅要学习审计的方法论、沟通技巧,还要积极学习相关的信息技术,专业的IT审计人才应当掌握较为全面的信息技术,对银行IT的各方面都要有所涉猎。加强IT审计人才的培养和储备。
展望未来,银行信息科技内部审计不能局限于应对监管需求,而应立足于银行战略与业务需求,立足于解决信息科技的各种困难。银行应当将信息科技内部审计当成信息科技风险审计最重要的一环,建立完善的信息科技内部审计管理体系,并将之纳入银行整体风险管理体系中。银行应当充分认识信息科技内部审计的重要作用,有意识地引导与加强信息科技部门与内部审计部门的合作共赢,加强信息科技审计专业队伍建设,确保信息科技内部审计真正实现价值,为信息科技的发展提供保障,为银行的发展保驾护航。
从源头上加强重视
该网点负责人自参加总行互联网金融视频后,结合一季度旺季竞赛活动工作部署,邀约上级行信息科技部门专家,对网点内大堂经理、客户经理、当班柜员进行产品培训,研读电子银行产品操作流程,充分利用网点PAD、个人手机等介质进行产品功能测试,细化产品体验功能,探讨产品优化建议,总结产品优势。
从产品上拓宽思路
该网点在“融E联”、“工银E校园”等产品推出伊始,积极拓宽营销思路,真正做到把好的产品推广给有需求的客户,充分利用该网点濒临重点高校这一资源,已手机银行汇款免费为突破口进行针对性营销,同时讲究产品营销策略”即对下载网上银行、手机银行的在校学生推广工行融E联产品、工行微信银行,介绍工行融E购商城,配套营销“工银e校园”等新兴电子产品。
关键词:商业银行 公积金管理 运营管理
一、商业银行运营管理
(一)银行运营管理概念
在商业银行中,运营管理就是对包括负债、资产、中间业务、国际业务及创新业务在内全部银行业务的实施进行管理。银行运营管理的定义包括广义和狭义两种方式。广义的银行运营管理,与大多数集团公司一样,银行经营管理既包括业务经营,也包括对经营的管理,而银行的全部管理活动归根到底都是服务于业务经营的。运营管理作为一项重要的银行管理活动,也服务于银行业务与产品的实现。运营部门则通过设计、运作及改进各项运作系统与运作流程,及时排除业务运作过程中发生的各类故障,以实现对业务的支持,充分体现了“大运营”的特点。狭义的银行运营管理则限定在特别规定范围之内,比如科技运营、业务运营,是一个“小运营”的概念。
(二)银行交易处理渠道
银行交易类业务受理及处理渠道主要有两个。一是营业网点的柜台渠道,二是离柜的电子渠道。其中离柜的电子渠道基本上由客户自主发起交易,系统自动执行业务处理的全过程,其间也存在部分运营工作,但这类运营工作主要为后台操作,和柜台渠道业务共享着同样的后台业务处理中心。电子渠道受理及处理业务真正需要作“落地”处理的工作量相对而言还是较少的,大部分运营管理工作主要集中在柜台渠道上,因此狭义银行运营管理主要面对营业网点柜台渠道。
(三)银行交易处理场所
营业网点柜台受理业务的主要处理场所有两个。一是可视分界线以内的营业网点前台柜面。二是超出营业网点可视分界线以外的后台。商业银行提供服务的过程可以分解为“与客户交互的前台服务过程”和“独立的后台处理过程”两大部分。目前从金融行业服务发展趋势上看,在营业网点柜台办理的业务越来越少,通过电子渠道发起、再在后台进行后续处理的业务越来越多。电子渠道对业务处理的大幅度分流也为银行运营后台化提供重要的基础。由此银行运营管理的重点主要集中在业务的后台处理上。
商业银行发展趋势是业务处理场逐渐向后转移,营业网点前台柜面处理业务越来越偏重于简单的预处理,业务处理过程全部放到后台。正是因为银行运营逐渐从临柜服务中剥离,大规模的后台运营逐渐成为运营管理的重点。对于公积金业务而言,我们完全可以做到把前台与客户交互的服务过程尽可能地压缩,让前台更多体现服务生产过程,同时将大量前台业务处理操作过程逐渐移至后台,提高服务和业务处理效率。
二、各商业银行运营工作对中心的启示
(一)业务的集中处理
商业银行对于账户开立等业务进行集中处理,一方面,后台集中处理业务的人员,其业务把握的尺度相对一致。由于人员相对固定,对于各项业务的核心内容的培训较为便捷。由于使用的是前台拍照登记,后台集中处理的业务方式,办理业务的客户与后台集中处理业务的人员是完全不一一对应的、非面对面的业务关系,可以减少由于业务人员道德问题造成的业务风险。
中心从2004年自主办理各项公积金业务以来,业务范围不断扩大,业务规模倍数量级的增长,对前台业务人员的业务要求是不断增加的,业务办理人员要做好服务工作,还要对于各种不断发展且复杂的公积金业务政策、系统操作熟悉掌握,压力也是不断增加的。结合中心实际的业务情况,对于简单的业务可以通过前台录入加审核的方式进行业务处理,对于一些风险等级高、审核点较多、业务资金量大的业务可以通过后台人员进行集中处理。以此,一方面减轻了前台工作人员的业务压力,一方面可以有效的控制业务风险。
(二)授权的集中作业
系统授权包括后台审核附科长权限项目与科长柜台直接授权项目,通过后台对于人员的角色控制与权限申请表进行权限控制。同时,每一种授权又对应着不同的业务情况,在实际操作过程中,有些业务即可以通过业务数据修改的方式,又可以选择授权的方式进行处理。在此过程中,对于科长自身角色所含的授权权限完全由科长的主观判断决定是否予以授权通过,对于后台审批的权限申请表内授权权限,虽然在后台审核过程中由科长报送了办理业务要件,由于不能跟踪到具体业务,实际上也是通过核算科长进行业务授权的。实现授权的集中作业可以实现权限与业务的一一对应,同时可以保证及时的进行业务处理,实现授权口径、要件、要求、时效的统一。
(三)工作流程的延续性设计
商业银行按照三道防线的管理要求进行风险管理控制,业务与授权的批处理执行了一道风险防控的功能。稽核部门对所有业务票据进行扫描、对未识别信息进行补录,形成票据的完全电子化,比对业务流水,保证所有处理票据的完整性。同时制定了严格的业务凭证与档案管理系统的准入制度,对一般用户开放查询权限。后督部门依据确定各类业务关注点进行风险模型的设计,对于筛选出的问题由后督人员进行100%甄别后确定问题属性。对于网点的业务情况进现场检查与后台监控检查结合的方式,确实属于问题的发至网点进行业务核实及扣分处理。业务授权集中处理、业务票据扫描勾稽、后督风险模型筛查构成了事中、事后全过程的风险预防体系。对业务票据进行扫描,通过电子信息对业务进行稽核的业务方式已经包含在中心调整的改造范围内,结合三道防线的管理要求,业务票据扫描、信息补录工作由运营中心负责,管理部门负责业务的稽核工作。
(四)运营工作的时效要求
业务的集中处理与授权的集中作业都设定了相应的反应时间,要求后台受理人员必须在规定时间内完成相应的操作过程。
关键词:电子银行安全评估;现状调研;业务流程风险识别;电子银行业务连续性管理
1、引言
电子银行的安全评估,是指金融机构在开展电子银行业务过程中,对电子银行的安全策略、内控制度、风险管理、系统安全、客户保护等方面进行的安全测试和管控能力的考察与评价。开展电子银行业务的金融机构,应根据其电子银行发展和管理的需要,至少每2年对电子银行进行一次全面的安全评估[1]。 本文以国内某大型股份制银行为电子银行安全评估分析对象,提出了一种开展电子银行安全评估方法,并对该方法作了深入分析和研究;通过实践验证,该方法切实可行、达到了预期目标。
2、项目背景介绍及电子银行安全评估实施方法
本文所提出的一种安全评估方法其背景是某行的电子银行安全评估项目,分析研究的目的为以下两个方面:(1)在以监管要求及标准为依据,基于该行现有管理制度,综合参考风险库及同业实践,执行包含该行电子银行技术安全、业务操作与管理领域在内的安全评估工作,识别风险控制缺陷,提出可实施的整改建议,并出具安全评估报告;针对评估中发现的可以快速体现风险管控实效的控制措施,设计管理工具或制度,提高该行电子银行的风险管控水平,完善电子银行风险管理体系,包括:建立电子银行业务风险模型、风险评价机制,完善电子银行业务连续性管理制度;(2)通过项目实施过程中的交流和知识转移活动,协助电子银行风险管理相关人员掌握风险现状,了解风险管控要求,提高该行电子银行风险管理团队技术能力。
根据电子银行业务发展方面及现有业务重要程度分析,本项目的评估范围包括网上银行、手机银行、电子支付三个业务领域[2]。按照项目执行的时序、项目特点等综合因素,采用分阶段完成其项目。具体将评估方法分为这样四个阶段:项目计划、安全评估、风险管理优化、报告及建议,各阶段的主要工作简述如下:
(1)项目计划阶段:确定详细项目范围和制定安全评估工作计划,监管要求差距分析;(2)安全评估阶段:执行该行电子银行安全评估,包括治理、业务和科技层面;(3)风险管理优化阶段:建立电子银行业务风险模型以及风险评价机制;(4)报告及建议阶段:编制安全评估报告并提出改进建议,建立电子银行业务连续性管理机制。
本次电子银行安全评估不仅为满足监管要求,更以全面了解电子银行风险全貌为目标,因此在评估要求的设计过程中,充分参考了监管要求、该行电子银行管理制度与国内外同业最佳实践。
为全面评估电子银行风险状况,根据本次项目评估目标和评估范围,本文设计了三层评估框架,以保证电子银行安全评估的全面性,包括:治理层面、业务层面及科技层面。电子银行安全评估框架如图1所示:
图1 电子银行安全评估框架
三层评估的具体执行目标为:(1)电子银行治理层面评估主要针对电子银行安全策略、内控制度建设、风险管理状况进行设计,根据框架可对治理层工作的有效性、充分性、合理性进行评估;(2)电子银行业务层面评估主要从电子银行产品的需求调研、产品设计、系统研发、投产上线到市场营销的整个生命周期流程及具体电子银行产品业务操作两个层面出发,对电子银行业务的风险进行评估;(3)电子银行科技层面评估重点关注电子银行业务相关系统的整体运营及维护情况,主要通过检查电子银行业务运营相关应用系统的部署及配置发现安全隐患。
3、项目阶段化及具体工作描述
根据上述评估方法的具体工作思路,并结合安全评估框架图,现将划分为4个阶段的相关工作具体化,各个阶段的具体工作如下所述:
3.1第一阶段具体工作描述
第一阶段是项目计划阶段,其阶段目标是了解该行电子银行业务运作方式与主要环境,制订项目详细计划与范围,并与该行成员讨论确定项目的详细实施计划和范围。对现有国内和国际监管要求、指引和参考进行收集整理,评估其对该项目的适用性,形成电子银行风险矩阵;同时,还将对各类相关资料进行前期收集和查阅,包括电子银行业务资料、电子银行系统相关资料、电子银行往期评估资料。
3.2第二阶段具体工作描述
第二阶段是安全评估阶段,治理层面评估的目标是确定评估战略机制、职责分离和制度体系化程度。首先收集电子银行发展战略、组织架构及职责分工、电子银行管理制度等资料;然后梳理电子银行制度体系,明确制度间上下层级和相互关系,尤其关注制度覆盖面的缺失或重叠,以及与其他部门相关制度的衔接;最后梳理电子银行管理组织架构,评估其完整性和职责分离有效性。在完成基础工作之后,对电子银行治理层面管理机制进行完整评估,包括电子银行战略管理机制、电子银行制度管理机制等。
业务层面评估的目标是评估重点产品的全业务风险控制情况。首先收集电子银行产品资料,访谈产品设计和管理人员,整理详细业务操作流程图,同时参考风险框架梳理业务层面风险;对于电子渠道实现传统产品的情况,重点关注电子渠道相关风险;对于电子银行创新产品的情况,全面关注产品本身和渠道相关风险;对所有产品都关注市场营销、产品研发、运行维护和自律监管等方面的风险。然后识别现有风险控制措施和控制措施类型,评估业务层面安全管理状况。
科技层面评估的目标是明确相关信息系统,并对科技管理机制进行评估。梳理出支持电子银行业务运行的信息系统,整理电子银行系统安全评估要点,并对相关系统环境进行评估[3]。
在该电子银行安全评估工作过程中,为了解电子银行安全情况,其间采用了人员访谈,资料查阅,检查风险控制执行记录、系统管理及配置情况等方法,对该行电子银行安全情况进行评估。整个评估过程分为三个步骤完成,其三个步骤的具体工作为:
(1)通过资料搜集和访谈调研全面了解现状。本次评估工作中,对电子银行业务相关部门人员进行了广泛的访谈,包括对电子银行部、信息科技部、办公室、法律合规部、风险管理部等进行访谈。通过访谈了解电子银行业务管理相关现状,评估电子银行各类安全策略、管理制度、操作手册的要求是否在日常工作中有效落实,评估人员的安全意识水平及对自身岗位职责的理解水平。在评估工作中,对该行电子银行的组织架构、人员分工、安全策略、管理制度,业务连续性计划等资料进行调阅,并查阅了涉及电子银行业务运行的科技运行标准及操作手册。通过对资料的查阅,评估该行电子银行安全策略、管理制度、操作手册等文档的完整性及设计的合理性和有效性。
(2)通过流程梳理和现场检查全面识别现存风险。具体为:梳理该行电子银行业务流程,包括电子银行产品管理生命周期和具体电子银行产品操作流程:电子银行产品管理生命周期涵盖电子银行产品的需求调研、产品设计、系统研发、投产上线、市场营销等环节;根据产品特点和重要程度,从个人电子银行业务和企业电子银行业务中选定若干业务作为评估样本,绘制业务流程图,并逐一分析业务流程中各个处理环节,相关部门、处室或岗位,涉及的记录和数据等,评估电子银行产品业务流程中是否存在安全隐患,识别具体风险点。
(3)梳理清单、确定风险,判断风险问题等级。整理风险评估结果,逐一评估风险等级。本次评估从风险发生可能性和影响程度两个方面,依据风险发生可能性与影响程度等,判断风险级别,形成评估结果。
3.3 第三阶段具体工作描述
第三阶段是风险管理优化阶段,其目标是建立电子银行业务风险模型,形成业务风险评价机制。针对发现的缺陷,与该行项目组讨论对电子银行安全风险的影响程度,并确定风险等级。本阶段应全面梳理电子银行产品业务流程以及风险控制点,建立电子银行风险管理模型,并依据风险管理模型,建立电子银行业务风险评价机制。
3.4 第四阶段具体工作描述
第四阶段报告及建议阶段,其目标是形成安全评估报告,分析未来趋势。本阶段应根据评估情况和各部门反馈情况编制安全评估报告,并提出切实有效的安全风险管控建议。此外,编制电子银行业务连续性管理规范制度,满足合规要求,为电子银行业务连续性管理奠定基础。
4、项目方法实施经验
在整个项目的实施过程中,业务流程图的绘制与风险点识别是整个电子银行安全评估非常关键的一环。针对这一关键点,首先应从银行现有的个人电子银行业务和企业电子银行业务中选取较为重要或具有代表性的若干业务作为评估样本,绘制水平流程图。绘制流程图时应注意包含的客体,具体如客户、营业网点柜台、各相关部门、信息科技部或外部支撑系统,各客体之间以清晰的动作节点串联起来,并在两节点中间标明信息的传递情况,清晰地反映实际的业务流程与涉及的各部门职能。
绘制流程图时可参考银行现有的业务流程相关制度,对访谈结果进行分析和梳理,在银行官网上查看演示版模拟真实业务操作流程,最具有实际意义的措施是采用切身实际去柜台办理一张储蓄卡的办法,并开通个人网银的相关功能,在其相关功能的范围内,进行网银和手机上进行相关实际操作,这样才能够真实、全面地了解业务流程并绘制出能反映实际业务流程的流程图,为进行全面风险识别奠定良好的基础。在进行风险识别时,应考虑各种风险类型,可参考本行或同业的风险库,必要时亦可召集小组成员一起进行讨论分析,力求全面识别电子银行各业务流程中的风险点,并在图中对风险点进行标识:标识的方法是在风险点处标明风险名称与风险描述。在完成风险点标识后,将其进行归纳统计,最终将业务流程所有识别出来的风险汇总形成风险矩阵和风险清单。在此基础上,对所统计的风险进行分类,判断每个风险点的风险等级、是否重要、是否紧急,并提出相应的风险控制措施。
在评估中,针对评估对象和评估要点,查阅该行电子银行风险控制相关文档记录,其查阅记录文档的范围涉及业务风险控制记录以及科技类风险控制记录。通过对风险控制记录的查阅,了解电子银行相关管控措施实施情况,除了用于评估该行的风险控制措施设计的有效性和合理性,还用于评估风险控制措施执行的有效性和及时性等方面。对该行电子银行业务相关系统配置及涉及业务系统的网络设备、安全管理设备、日志监控设备、数据库及中间件配置进行查看,查看范围涉及开发环境及运维环境。通过对信息系统管理及配置的查看,评估电子银行相关信息系统和信息环境安全控制措施的有效性。
5、项目实施总结
本文通过将电子银行安全评估框架划分为3个层面,以及按照工作的先后顺序划分为4个阶段,经过实践验证,其成功高效、顺利地完成了该行开展的电子银行安全评估工作,满足了银监会《电子银行安全评估指引》及其他相关的监管要求,并为该行或相同行业在今后的电子银行安全评估工作奠定了良好的基础,并提供了全面、细致的工作指导。
参考文献:
[1]中国银监会.电子银行安全评估指引[Z].
一是地位转变:信息科技与业务发展的关系从支撑转向引领;
二是方式转变:信息科技发展从关注规模、速度转向关注质量、效益。
对银行业科技从业者而言,这五年,既是信息化建设重要战略转型的窗口期,
也是面对复杂经营环境,实现自身转型发展的关键期。
早在2011年11月,银行业信息科技风险管理高层指导委员会在江苏无锡正式成立,银行业信息科技“十二五”发展拉开序幕,信息化建设开创新局面――信息科技承担起提升金融创新能力,强化风险管理意识的重要使命。
回顾“十一五”建设成果,银行业数据大集中、多中心化基本实现,应用系统建设渐成规模,电子银行渠道与创新应用不断丰富,信息安全技术保障体系初步建立……各大银行IT蓝图新系统相继上线,银行传统“以账户为中心”的业务流程模型正向“以客户为中心”转变,信息科技成为构建银行核心竞争力的关键。
与此同时,重应用轻战略、信息化建设前瞻性不足,IT建设无法适应业务发展节奏,科技风险管理水平与信息化发展速度不匹配等银行信息化进程加快带来的问题随之暴露。
信息科技战略与企业战略结合不够紧密;应用系统架构扩展性、灵活性不足;管理信息系统对经营决策、前台营销支持不够;应用系统建设“重功能、轻数据”,数据治理体系建设相对滞后;科技风险管理体系尚不完善……这些客观存在的问题为“十二五”银行业信息科技发展战略明确了方向。
“两个转变”贯穿“十二五”银行业信息科技发展进程。一是地位转变:信息科技与业务发展的关系从支撑转向引领;二是方式转变:信息科技发展从关注规模、速度转向关注质量、效益。
对银行业科技从业者而言,这是信息化建设重要战略转型的窗口期,也是面对复杂经营环境,实现自身转型发展的关键期。
“‘十二五’期间整个银行创新变化较大。”兴业银行北京分行科技部总经理黄晟在接受《中国信息化周报》记者采访时表示,“科技环境改善的力度不断加大,主要围绕基础设施建设、信息科技治理、外包风险监管几个重点展开。信息科技对改善服务、创新产品的作用进一步加强。”
在中国银行信息科技部总经理刘秋万看来,“十二五”期间,银行业信息科技真正实现从支撑保障到引领创新角色的跨越转变。
“我们这五年的信息科技建设工作也是围绕IT治理、基础设施与运维体系建设、应用系统建设、信息科技风险管理四方面展开,取得了一定成绩。”他表示。
“银行业整体竞争日益激烈,外部监管日趋严格,这些外部环境及客户越来越多样化的业务需求都对我们信息化建设提出更高要求。”中国农业银行软件开发中心总经理蔡钊表示,“‘十二五’末,我们新一代核心业务系统――蓝海工程正式切换上线,意味着信息化建设进入新时期,向‘信息化银行’战略目标实现又迈进一步。”
1.1进行电子银行安全评估需要遵守的相关规范
1.1.1与技术相关的规范
银行业关系着我国的经济发展,政府对银行业的发展情况十分重视。电子银行在兴起之初就一直受到国家的关注,相关部门也就电子银行应用过程中的各项技术进行了严格的规定,其中比较具有代表性的包括《计算机信息系统安全专用产品分类原则》等,因此在电子银行安全评估的过程中,相关评估人员可以选择这些技术性的规范作为评价标准。
1.1.2与监管相关的规范
我国可以对银行进行监管的部门主要有银监会和中央人民银行,在电子银行兴起后,这两大部门都纷纷出台了相关的规章制度和管理办法,希望通过制度上的限制与引导,降低电子银行应用过程中的风险和问题。其中比较具有代表性的规章包括《电子银行安全评估指引》等。按照这种方法进行安全评估,可以对电子银行发展的各个方面进行综合性的把握。但是由于其政策性色彩过浓,因此在应用的过程中有时难以满足安全评估的实际需要。
1.1.3与国家基础相关的规范
安全管理属于公安机关的工作范畴,我国公安机关就现代信息系统发展提出了相关的安全管理办法。不仅如此,除了公安机关外,我国的技术管理部门以及质检部门等都就网络银行安全问题出台了相关的规章制度和标准要求。在实际应用的过程中,这些部门出台的规范性制度和标准都带有着一定的基础性,因此可以将其划归为与国家基础相关的规范。选择这类规范进行安全评估,指导性相对较强,并且目标清晰,操作难度也较低。
1.1.4与国际标准相关的规范
国际社会针对电子银行应用过程中可能出现的风险和相关运营问题等出台了一系列的行业标准和业务管理标准,力求通过相关标准的出台可以对电子银行的管理工作进行一定的提升,完善电子银行业务开展方面的不足。比较具有代表性的标准有《BS25999业务连续性管理标准》等。这些标准多由国际上较为权威的银行监管组织进行制定。
1.2电子银行常见的安全评估方法
1.2.1参考资料法
在实际工作的过程中与电子银行安全相关的评估标准、评估规范相对较多,因此在对电子银行安全进行评估的过程中,工作人员可以选择参考资料法,通过搜集与电子银行安全评估相关的一些资料信息,加深对电子银行安全系统的认识,合理的把握好与电子银行安全评估相关的核心规章制度以及过往评估信息等,进而对这些资源进行合理应用。
1.2.2调查走访法
在对电子银行安全进行评估的过程中,不仅要关注电子银行本身同时还要对相关工作人员以及用户的看法进行了解,从电子银行应用实际入手,真正的了解到电子银行安全存在的问题。因此调查走访法也成为了电子银行安全评估的有效方法之一,其要求评估人员必须与电子银行的设计人员、维护人员以及管理人员等进行沟通,了解与电子银行相关的信息,从中对电子银行安全性进行把握,并且通过调查走访评估人员也可以更好的了解电子银行的各项工作,强化评估的可靠性和准确性。
1.2.3实践核查法
实践核查法在应用的过程中需要评估人员对电子银行的应用技术、理论知识等都有一个全面细致的认识,并且要深入到工作实际中去,对电子银行相关的一切资料进行分析与评估。这包括工作人员工作过程中的相关记录、设计方案、技术要求等,同时还要对电子银行应用到的设备以及相关维护手段等进行了解和评估,通过不断实践的方式达到核查评估的目的。
1.2.4工具检测法
随着现代科技的不断发展,电子银行安全评估的方法也产生了一定的变化,其中工具检测法就是对传统评估方式的一种创新,其通过现代先进工具的应用可以有效的把握电子银行的安全情况,便于评估人员作出合理的评估,减少了工作人员的工作压力,保障了评估工作的质量和效率。
2电子银行安全评估的工作思路
2.1明确电子银行安全评估的意义和价值
(1)控制电子银行存在的风险。电子银行在很多方面都存在着不足,虽然各大银行一直在对电子银行进行完善,但是与理想状态还有差距,所以需要通过安全评估的方式,对其中的风险进行把握,避免用户的利益受到损害。
(2)促进电子银行的不断发展。电子银行具有着较强的革新性,在实际应用的过程中其可以随着计算机技术和网络技术的发展而不断的进行升级更新。进行安全评估可以有效的发现电子银行中的不足,进而在解决问题的过程中,促进电子银行的不断发展,使其可以和现代科技的发展相适配。
2.2注重评估工作不足,及时调整评估方式
电子银行一直处于发展变化之中,无论是在工作方式还是在业务拓展等方面都与传统银行有着很大的差异,因此在对电子银行安全进行评估的过程中,相关部门应针对电子银行的实际情况不断完善评估中的不足,调整评估方法。具体来说有关部门应注意以下几个方面:首先,对不断涌现出的新的电子银行模式进行了解,针对电子银行不断显示出的新特点,调整评估的方式。其次,电子银行的业务具有着较强的灵活性,并且随着电子银行的受众增多,电子银行的业务范围也进行了一定的扩大,甚至涉及了一些跨行业的业务,使得电子银行呈现出了综合性的发展趋势。因此评估人员应以电子银行业务变化为导向,及时完善评估内容。最后,虽然现在电子银行业务已经开始在我国进行普及,并且呈现出逐年上升的趋势,但是这并不代表电子银行的安全问题就得到了有效的解决,相反电子银行存在的安全隐患愈发增多,这就对评估工作提出了新的要求和挑战,因此评估部门需要对传统评估方式进行改革,通过研发新技术、引入新思维的方式,促进评估方式与电子银行的发展相适配。
3结语