天津银行:长效机制防范IT风险触发
开篇:润墨网以专业的文秘视角,为您筛选了一篇天津银行:长效机制防范IT风险触发范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
“银行经营货币,同时也经营风险。随着IT在银行应用广度和深度的增加,IT风险已直接影响到银行的经营风险,但防范IT风险的重点并非技术,而是制度。”天津银行科技部总经理鲁士淳这样告诉《中国信息化周报》记者。
天津银行于1996年正式成立,前身为天津市商业银行,2007年正式更名为天津银行,是中国首批获准组建的5家城市合作银行之一,也是天津市唯一的地方性股份制商业银行。
天津银行从2004年开始着手开展同城灾难备份中心建设工作,目前已经形成了生产中心和同城灾难备份中心相结合的基础设施架构。回顾在同城灾难备份中心建设和实际运维中遇到的问题,鲁士淳认为相比技术手段和IT解决方案,建立长效机制可能是目前国内银行防范IT风险,构建业务连续性管理最为重要的一件事。
IT风险集中 技术问责首当其冲
随着信息化的深入,越来越多政府、商业机构的业务运转已离不开IT系统。作为高科技强度的金融业,IT系统已成为业务平台的一部分,IT系统的稳定与否直接影响金融业务的健康运行。
回顾2006年及2007年中国股市牛市当道的情景,因A股交易量井喷导致多家证券公司“堵单”事件频发,股市交易一度停滞,无法持续正常运行。事后反省IT事故原因,除了脆弱的基础设施桎梏外,缺乏科学有效的IT管理流程更是造成股市瘫痪的重要肇因。
2006年前后,国内各大银行已基本实现了数据大集中,集中的同时也带来了风险,将银行IT系统运营管理的工作曝于更严峻的挑战面前。针对这一问题,部分金融机构通过建立内部统一的IT运维服务平台,通过采购来自供应商的OpenView、Unicenter、Tivoli等网络和系统管理工具,基本配置了对网络、主机的故障管理功能。
但是技术防范不是万能的,由于旧有体制、机制、文化、管理水平等因素制约,中国银行业在IT管理的组织结构、管理流程和服务质量上与国外最佳实践相比还存在较大差距。这主要表现在IT部门内部的绩效管理较难实行,管理流程不完善、制度执行不够彻底、风险防范意识不强、对危机处理能力较差等问题在一定程度上还普遍存在。
国内许多组织还不能建立有效的故障管理、变更管理、配置管理等IT服务管理流程,以致造成IT系统停机;IT系统一旦停机,不仅组织的业务受到巨大损失,更重要的是声誉下降,从而丧失竞争优势,因此,业务连续性管理被列为银行治理、风险管理中极其重要的环节。
再好的技术方案如果没有完善且切实可行的连续性计划支撑,也无法确保达到业务连续性目标。很多IT主管都碰到这一问题,对他们而言,在梳理IT服务管理流程的同时,更需要考虑确定完善的业务连续性管理方案,这是一个全员参与的过程,当故障发生,从团队到IT技术,从基础设施、业务恢复,到公关处理等各方面,都需要周密的考虑,才能确保IT风险防范落到实处,支撑业务连续性管理良好实施。
五个步骤完善业务连续性管理
目前,银行业务的连续运作与信息系统的稳定运行成为各商业银行需要优先考虑的关键问题。 2006年11月,银监会了《银行业金融机构信息系统风险管理指引》。银监会主席刘明康将信息科技导致的风险,列为银行业四大风险之一。在科技风险管理工作中,首次将“业务持续性规划的研究和制定”作为重点推出,进一步明确了业务连续性管理在银行业治理与风险管理中的突出地位。
总结天津银行已经进行的同城灾难备份建设与未来的实际规划,鲁士淳认为商业银行的业务连续性管理体系建设一般可分为五个阶段:第一阶段是业务连续性管理整体规划;第二阶段是核心业务系统的业务连续性计划(BCP)建设;第三阶段是各前台业务部门、各业务网点和分支机构的BCP建设;第四阶段是后台应用系统和非关键业务系统的BCP建设;第五阶段是涵盖关联机构的全企业范围的业务连续性管理。
作为商业银行,如果能够按照这五步骤依次构建业务连续性管理体系,既可从IT系统的备份与灾难恢复上启动BCP建设,又可将业务连续性管理嵌入到银行的整体制度、组织和资源中,全面提高银行的风险防范能力。
从天津银行同城灾难备份中心建设的实际经验来看,商业银行信息科技部门作为支撑商业银行业务生产运行的服务部门,要服从行内统一的决策领导,充分理解商业银行决策层的风险防范考虑,从商业银行业务经营的角度出发,统筹规划商业银行的业务连续性建设。正所谓“统筹规划,分步实施”,放之四海而皆准。
“制度建设是基础。建立完善的规范、制度、流程和绩效考核办法,使天津银行的发展不是靠人治,而是靠企业文化来治理,这也是我们目前的重要工作之一。”鲁士淳表示。
培养自主开发软实力
鲁士淳认为,既然机制是防范IT风险至关重要的因素,那么光从技术上换掉银行的“心脏”,即引进国外核心业务系统并非是一剂灵丹妙药。对于2007年后银行业全面开放,国外银行大举来华参与竞争,鲁士淳并不将之视为“洪水猛兽”。“我们现在没有受到多大的冲击,以后的形势也不会太严重。”鲁士淳显然对未来满有信心。
事实上,自主创新是国内金融机构需要直面的重大问题之一。由于没有充分认识到软件自主研发的战略价值,国内一些金融机构正在受到自身软件开发力量不足的困扰,发展受到一定程度上的束缚。目前,软件自主研发的战略价值已经显现,加快金融机构软件开发中心的发展不容回避。而在把握金融科技发展走向的同时,如何充分认识自主研发的战略价值,开创软件开发中心建设的新局面,也成为银行业CIO的关注点。
国内很多大型银行,如工商银行即于1996年成立了软件开发中心,目前已成为国内规模最大、发展最快、成绩最突出的金融软件开发中心,其产品创新能力也有出众表现,这种现象值得深思。在国外,也不是所有的先进银行都更换核心系统,这些银行大多将投资用于市场营销、客户管理、流程再造、产品管理、风险管理和IT治理等项目上。
“另外,国外系统的成熟和先进性,可能恰恰是技术部需要改造的东西,我们可以引进一套先进的国外应用系统,但不能全盘引用其上层架构,我们必须考虑应用系统所服务的战略、业务和组织架构,必须与中国国情相符合。”
“此外,对IT从业者而言,改一个系统不如重新做一个系统。随着修改的东西越来越多,系统的整体性、先进性越来越难体现,成本也会越来越高。而自主研发成本低、效率高,并且拥有自主知识产权。” 鲁士淳总结道。
可见,银行信息化发展的动力不只是信息应用平台的投资建设,金融科技自主研发的软实力增强也很重要。