近年来,我国各大银行纷纷从原有的数据分布式处理模式,逐渐转向了数据大集中处理模式。数据集中为各金融机构带来巨大的收益,但是也引发了各种风险。根据银监会最新公布的数据,目前,我国银行业金融机构总资产规模已达数十万亿元。如此大的资产规模,一旦出现重大的系统事故,后果不堪设想。随着信息化在银行业中的地位与日俱增,由于系统复杂程度的日益增加,潜在的信息科技风险也应成为银行业重点防范的隐患。
IT风险与其他领域的风险相比,具有其自身的特点,主要表现为风险发生时影响较大、风险出现具有不确定性、对风险的估计或防范手段不足。金融行业具有金融数据和客户数据高度集中,服务对象构成复杂、分布广泛,所提供服务与个人、企业利益乃至国民经济息息相关等特点。IT服务一旦中断,所带来的危害,仅用企业经济损失来度量远远不够。因此,对于IT风险的隐患,新巴塞尔资本协议中有着明确的阐述,并将其作为操作风险中的重点进行防控。
近几年,随着银行业数据大集中的不断推进,国内各银行的IT服务大范围中断的案例时有发生。仅在2007年,就发生了数起信息科技风险事件:
2007年3月21日,交通银行因主机监控软件存在缺陷,导致业务交易阻塞,系统瘫痪近4个小时,所有营业网点无法正常开展业务;8月15日,工商银行对计算机系统进行升级,但由于没有避开业务高峰期,导致个人业务系统运行不畅,业务办理速度缓慢,部分代理证券业务受阻,在持续5个半小时之后,系统才逐步恢复正常;10月18日,建设银行股民保证金第三方存管系统出现故障,与券商的交易无法正常进行,持续了两个小时后,在证券交易收盘后才恢复正常;12月21日,招商银行因运行中心核心网络设备出现故障,造成业务无法正常进行……
实际上,发生事故的这些机构,应该说IT技术和风险管控都属于国内比较先进的银行,但还是出了问题。对于上述重大事故的发生原因,专家认为,暴露出目前我国信息科技方面存在如下问题:
首先,基础建设滞后于业务高速增长。2007年12月末,银行业金融机构总资产从 2002年末的23.7万亿元增加到52.6万亿元,按照市值计算,工行、建行、中行跻身全球银行前三甲,按照2006年底全球银行一级资本排名,工行、中行也进入了前十名,我国银行业取得了长足的进步。然而在基础建设上,按照国际惯例,核心业务系统主机容量使用率如果超过60%,就需要扩大系统容量,国内很多银行都已超过了这个指标。例如,5家大型银行核心业务系统主机容量平均使用率为67%,个别银行核心业务系统主机容量峰值使用率甚至达到了90%。在这种负载饱和的情况下,哪怕是再增加很少的业务量,也可能造成很大风险。其次,软硬件及核心技术受制于人。目前,各银行大多数高端软硬件设备都是进口的,同时软件开发大多是外包给第三方。大量外包往往造成项目管理服务不到位,产权转移不彻底,核心技术受制于人,而且存在严重的安全隐患。第三,科技治理和系统管理粗放。2007年,银监会对境内主要商业银行的信息科技风险状况进行了评估。从评估结果来看,尽管有61%的银行已经制定了信息科技管理政策和战略规划,对信息科技治理框架也有一定的认识,但仍有占总数48%的银行在规划部门、技术风险管理部门和审计部门三者之间的职责分工、管理流程等方面存在严重问题。有的管理政策和战略规划重点不明确,措施不管用。特别是在业务连续性规划、业务恢复机制、风险化解和转移措施、技术恢复方案等方面,存在明显的 “短板”。此外,还存在着科技队伍建设方面的缺憾。商业银行普遍反映,尖端人才的短缺,已经成为制约银行信息科技建设和风险管控能力提高的重要瓶颈。
2008年是奥运年。初步估算,奥运会期间,北京将吸引80万人次的外国游客,接纳 90万人次的国内游客,全年将吸引超过460万人次的海外游客。一方面,这些游客的到来,将对我们的银行业务,尤其是信用卡业务提出高强度、大规模、综合性的金融需求;另一方面,在奥运会举办的关键时刻,我们的银行业也必须做好各种应对准备。在这样的具有挑战与考验的时刻,银行业金融机构更要正视IT风险的存在,将IT风险纳入到银行的全面风险管理之中。这样才能把风险控制在可承受的范围之内,为社会提供安全、持续的金融服务和保持金融稳定。