防范信息科技风险确保奥运支付安全

　　记者 韩雪萌

　　近年来，我国各大银行纷纷从原有的数据分布式处理模式，逐渐转向了数据大集中处理模式。数据集中为各金融机构带来巨大的收益，但是也引发了各种风险。根据银监会最新公布的数据，目前，我国银行业金融机构总资产规模已达数十万亿元。如此大的资产规模，一旦出现重大的系统事故，后果不堪设想。随着信息化在银行业中的地位与日俱增，由于系统复杂程度的日益增加，潜在的信息科技风险也应成为银行业重点防范的隐患。

　　IT风险与其他领域的风险相比，具有其自身的特点，主要表现为风险发生时影响较大、风险出现具有不确定性、对风险的估计或防范手段不足。金融行业具有金融数据和客户数据高度集中，服务对象构成复杂、分布广泛，所提供服务与个人、企业利益乃至国民经济息息相关等特点。IT服务一旦中断，所带来的危害，仅用企业经济损失来度量远远不够。因此，对于IT风险的隐患，新巴塞尔资本协议中有着明确的阐述，并将其作为操作风险中的重点进行防控。

　　近几年，随着银行业数据大集中的不断推进，国内各银行的IT服务大范围中断的案例时有发生。仅在2007年，就发生了数起信息科技风险事件：

　　2007年3月21日，交通银行因主机监控软件存在缺陷，导致业务交易阻塞，系统瘫痪近4个小时，所有营业网点无法正常开展业务；8月15日，工商银行对计算机系统进行升级，但由于没有避开业务高峰期，导致个人业务系统运行不畅，业务办理速度缓慢，部分代理证券业务受阻，在持续5个半小时之后，系统才逐步恢复正常；10月18日，建设银行股民保证金第三方存管系统出现故障，与券商的交易无法正常进行，持续了两个小时后，在证券交易收盘后才恢复正常；12月21日，招商银行因运行中心核心网络设备出现故障，造成业务无法正常进行……

　　实际上，发生事故的这些机构，应该说IT技术和风险管控都属于国内比较先进的银行，但还是出了问题。对于上述重大事故的发生原因，专家认为，暴露出目前我国信息科技方面存在如下问题：

　　首先，基础建设滞后于业务高速增长。2007年12月末，银行业金融机构总资产从2002年末的23.7万亿元增加到52.6万亿元，按照市值计算，工行、建行、中行跻身全球银行前三甲，按照2006年底全球银行一级资本排名，工行、中行也进入了前十名，我国银行业取得了长足的进步。然而在基础建设上，按照国际惯例，核心业务系统主机容量使用率如果超过60%，就需要扩大系统容量，国内很多银行都已超过了这个指标。例如，5家大型银行核心业务系统主机容量平均使用率为67%，个别银行核心业务系统主机容量峰值使用率甚至达到了90%。在这种负载饱和的情况下，哪怕是再增加很少的业务量，也可能造成很大风险。其次，软硬件及核心技术受制于人。目前，各银行大多数高端软硬件设备都是进口的，同时软件开发大多是外包给第三方。大量外包往往造成项目管理服务不到位，产权转移不彻底，核心技术受制于人，而且存在严重的安全隐患。第三，科技治理和系统管理粗放。2007年，银监会对境内主要商业银行的信息科技风险状况进行了评估。从评估结果来看，尽管有61%的银行已经制定了信息科技管理政策和战略规划，对信息科技治理框架也有一定的认识，但仍有占总数48%的银行在规划部门、技术风险管理部门和审计部门三者之间的职责分工、管理流程等方面存在严重问题。有的管理政策和战略规划重点不明确，措施不管用。特别是在业务连续性规划、业务恢复机制、风险化解和转移措施、技术恢复方案等方面，存在明显的"短板"。此外，还存在着科技队伍建设方面的缺憾。商业银行普遍反映，尖端人才的短缺，已经成为制约银行信息科技建设和风险管控能力提高的重要瓶颈。

　　2008年是奥运年。初步估算，奥运会期间，北京将吸引80万人次的外国游客，接纳90万人次的国内游客，全年将吸引超过460万人次的海外游客。一方面，这些游客的到来，将对我们的银行业务，尤其是信用卡业务提出高强度、大规模、综合性的金融需求；另一方面，在奥运会举办的关键时刻，我们的银行业也必须做好各种应对准备。在这样的具有挑战与考验的时刻，银行业金融机构更要正视IT风险的存在，将IT风险纳入到银行的全面风险管理之中。这样才能把风险控制在可承受的范围之内，为社会提供安全、持续的金融服务和保持金融稳定。