商业银行信息科技运行中的风险管理研究

　　摘要

　　从上个世纪80年代末到90年代末，我国银行业开始在全国范围内建立起网络系统，开启了信息技术的联机网络新时代。随之而来的经济全球化和日益激烈的市场竞争环境，在银行业务种类繁多、信息技术不断革新的新局面下，商业银行已经对信息化技术产生高度依赖感。从业务电子化到管理信息化，我国商业银行已经基本形成大数据的存储从而形成各具特色的代表性设备，如银行卡、pos 机、自助存取款一体机、网上银行、手机银行、电话银行等。银行信息化系统和技术的普及和应用，极大的提高了银行运转的效率和正确性。另一方面，近年来，信息化的多样性使得银行在中间业务收入方面的比重越发扩大增长，信息化服务成为衡量银行业务创新和利润增长的又一指标，更是占领市场份额提供个性化、差异化服务的一把利剑。信息化的投入使得银行业务系统应用框架正从以“产品为中心”和以“账户为中心”向“客户为中心”迅速转移，成为商业银行核心竞争力的“牵引力”.然而随着信息化的深入，用户在享受信息系统带来的便捷的同时也遭遇了风险漏洞问题。因此，加强信息系统运行过程中的风险管理日益成为银行内部控制的重点建设项目。由于信息系统产生的风险具有专业性、隐蔽性和突发性等特点，因此加快完善和建设信息系统风险管理越来越受到商业银行的重视，把 IT 风险纳入到银行的操作风险范畴。本文基于目前我国商业银行信息系统建设正处于高速发展时期，较之于传统的银行风险及其管理，对商业银行信息科技风险识别，估计和评价以及预警监控机制认识较少，执行力较薄弱，理论研究也不足以应对日益发展的信息技术，实践中所涉及的信息技术架构庞大，内容繁多。在此背景下，笔者作为一名从业人员试图吸收汲取国内外现行的重要标准，对商业银行信息科技运行过程中的风险管理进行系统的理论分析，同时结合自身的实践环境和案例，主要从运行过程中涉及到的风险管理专门研究，以期提升对商业银行信息科技运行过程中风险管理的认识，从而在一定程度上能够对实践有一定的探索作用。本文主要包括三部分内容：

　　第一部分包括第一、二章。首先从本文的研究背景，内容和意义为出发点，并提出研究方法和总体框架。阐述吉林银行信息系统运行过程中风险管理问题及原因分析。接着，该部分对国内外信息系统风险管理发展和现状、银行信息系统操作风险管理研究现状、进行阐述，概括描述银行信息系统风险管理方法论综述，包括对信息系统风险管理体系概述和信息系统风险管理的指引内容。

　　第二部分包括第三四五章。第三章针对本行情况对风险进行识别，估计和评价，对吉林银行信息系统运行中的风险事件进行分析和评级。第四章则针对实例探讨信息系统运行中的风险管理的应对策略。第五章结合前两章的风险事件分析对信息系统运行过程中风险监控和组织实施提出合理化建议。

　　第三部分是第六章。最后一章是对全文的总结和展望。

　　关键词：信息系统，风险管理，操作风险，信息安全

　　Abstract

　　From the late 80 s to 80 s last century, banking industry of our nation began to establishthe network system across the country, creating the new era of the online network ofinformation technology. Owing to more diversity in banking and information technologyinnovations, commercial banks have initiated to highly rely on information technology underthe new circumstance of economic globalization and increasingly fierce market competitionenvironment. From electronically business to management information, commercial banks inChina has been preliminarily form a large data storage through channels of differentcharacteristics of typical equipment, such as bank card, pos machine, self-help differentall-in-one, online banking, mobile banking and telephone banking. Bank information systemsand popularization and application of information technology have greatly improved theefficiency of the banking operation and correctness. On the other hand, the varieties ofinformation technology expand the proportion of income increasingly growth of intermediatebusiness of bank in recent years. Information services not only become another indicator ofmeasuring banking innovation and profit growth, but also like a powerful weapon which canhunt the market share to provide personalized, differentiated service.

　　However, along with the penetrating development of information, the users have beenimmersing in the convenience of information system, also while suffered vulnerable risks.

　　Therefore, to strengthen the risk management in the process of information systemincreasingly becomes the focus of internal control construction project of commercial banks.

　　Risks caused by information system, which are called IT risk have many characteristics, suchas professional, concealment and sudden. It is the reason to intensify risk management and theconstruction of information system. At the same time, on account of these features of IT riskmore and more commercial banks start to pay more attention to it, and will be classified as thebank's operational risk.

　　The research background of this paper is based on the rapid development period ofinformation technology in commercial bank of current country. Compared with the traditionalIV?bank's risk and its management, less study in the commercial bank are relative to riskidentification, estimation and evaluation and the mechanism of early warning and monitoringabout information technology. Moreover, the weak executive force and the theoreticalresearch is not enough to deal with increasingly loopholes by exposed development ofinformation technology. Thirdly due to the complexity of large information technologyframework in practice and comprehensive products, the loopholes are hard to dispose andrisks loom from time to time.

　　On this context, the author tried to absorb research achievements of current significancestandards at home and abroad, analyze the theory of risk management system about theoperational process of information technology in the commercial bank. And meanwhilecombined with the practice of own environment and practical cases, this paper mainly aims atinvolving in studies of the operational process of risk management in order to promotecognitions and understandings about risk management of the operational process ofinformation in the commercial bank, thus to some extent has an effect on practice exploration.

　　This paper includes three parts of the content.

　　The first part covers the first and second chapter. First of all, this article introduces theresearch background, content and the significance of the viewpoint, and put forward theresearch methods and the overall framework. This part also finds out the risk managementproblems and reasons caused by the process of information system in bank of Jilin on thebasis of associations between commercial banks operation risks and risks management ofinformation system. Then, the second part illustrates development tendency and state of riskmanagement of information system at home and abroad and present research situation ofoperational risk management. In addition, this part also summarizes review of methodologyabout risk management of information system, including the summary of the riskmanagement of information system and guidelines of risk management information system.

　　The second part ranges from the third to the fifth. On this basis, according to the abovestatement, the article of the fourth chapter elaborates risk analysis of the process ofinformation system from risk identification, estimation and evaluation of Bank of Jilin, anddetermines the level of risks according to the severity and consequences of risk events. Thefourth chapter offers countermeasures strategy of risk management for instance of Bank ofJilin. The fifth chapter analyzes risk monitoring of information system of the operationalprocess, combined with the second part of analysis and proposes reasonable suggestions ofthe implementation.

　　The third part is the chapter Six. The last chapter is described the summary and outlookof the whole paper.

　　Key words: Information system, Risk management, Operation risk, Information safetysecurity
 

　　目录

　　摘要……I

　　Abstract……III

　　第一章 绪论……1

　　1.1 本文的研究背景……1

　　1.2 本文研究内容和意义……2

　　1.3 吉林银行信息系统运行过程中的风险管理现状……3

　　1.3.1 信息系统风险管理重视不足……5

　　1.3.2 信息系统风险防范和应急措施缺乏……6

　　1.3.3 复合型 IT 人才培养和队伍建设滞后……6

　　1.3.4 外包管理体系不完善……7

　　1.3.5 违规操作带来的风险隐患……7

　　1.4 研究方法和总体框架……8

　　1.4.1 研究方法……8

　　1.4.2 总体框架……8

　　第二章 相关文献综述……9

　　2.1 国内外信息系统风险管理发展和现状……9

　　2.1.1 国外信息系统风险管理发展……9

　　2.1.2 国内信息系统风险管理相关制度研究……10

　　2.2 银行信息系统操作风险管理研究现状……11

　　2.2.1 国外关于商业银行操作风险现状……12

　　2.2.2 国内关于商业银行操作风险现状……14

　　2.3 银行信息系统风险管理方法论综述……15

　　2.3.1 信息系统风险管理体系概述……15

　　2.3.2 信息系统风险管理的指引……15

　　第三章 吉林银行信息系统运行过程中风险分析……17

　　3.1 风险识别的方法和范围……17

　　3.2 信息系统风险管理识别归类……18

　　3.2.1 技术风险……18

　　3.2.2 管理风险……20

　　3.2.3 自然风险……21

　　3.2.4 创新风险……22

　　3.2.5 声誉风险……22

　　3.3 信息系统运行过程中风险的估计……23

　　3.4 信息系统运行过程中风险的评价……25

　　第四章 吉林银行信息系统运行过程中风险管理的对策探讨……29

　　4.1 信息系统运行风险管理采用的应对策略……29

　　4.1.1 减轻自然风险……29

　　4.1.2 转移技术风险……30

　　4.1.3 接受声誉风险……30

　　4.1.4 回避创新风险……31

　　4.1.5 缓释管理风险……31

　　4.2 吉林银行信息系统运行风险管理具体措施实例研究……31

　　4.2.1 自然风险-建立应急响应方案与数据备份恢复技术……32

　　4.2.2 管理风险-建立信息系统反馈机制……32

　　4.2.3 技术风险-加强复合型人才队伍建设和外包管理……33

　　4.2.4 创新风险-加强信息系统与业务监管结合度……34

　　4.2.5 声誉风险-加强服务意识和提升服务质量……34

　　第五章 信息系统运行过程中风险监控……37

　　5.1 信息系统风险监控的内容和方法……37

　　5.1.1 信息系统风险监控的内容……37

　　5.1.2 信息系统风险监控的方法……37

　　5.2 吉林银行信息系统运行风险管理监控的组织实施……39

　　5.2.1 建立信息系统风险监控预警系统……39

　　5.2.2 建立信息系统风险监控 IT 审计制……39

　　5.2.3 建立信息系统风险监控权责划分制……41

　　第六章 总结与展望……43

　　6.1 研究创新与不足……43

　　6.2 总结与展望……43

　　参考文献……45

　　致谢……51