本文目录
1、现代商业银行是经营风险的特殊企业。银行的盈利必须通过承担风险才能获得,存贷利差的获得必须要承担贷款资金收不回和存款资金到期必须支付这样一种风险。现代金融理论认为:银行就是一部“风险机器”。它承担风险,转化风险,并且还将风险植入金融产品和服务中再加工风险。风险对于银行来说是一把“双刃剑”。它既是银行获利的手段,又是蚀利的原因。管理不当,风险就会侵蚀银行利润,股东投资就得不到预期回报。严重时风险还会进一步侵蚀银行的资本,极端情况下,银行将会破产倒闭,股东血本无归。正是在这个意义上讲,风险管理是商业银行的基本职能,是商业银行生存与发展的灵魂。
2、纵观国际银行业发展史,风险管理是商业银行经营成败的关键因素。国内外商业银行的发展进程中,因风险管理不当、资产质量低下而导致倒闭、被政府接管的不乏其例。如近年来,国外有英国巴林银行事件、日本长期信用银行破产,国内有海南发展银行、广东国际信托投资公司被关闭,以及光大国际信托投资公司、中国经济技术开发信托投资公司被撤销等等。这些反面的案例警示我们,风险管理是商业银行的生命线,是关乎到商业银行经营成败的关键因素。
3、银行业属于高风险行业,它的稳健发展不仅要求商业银行奉行审慎经营原则,而且要求金融监管当局必须将风险管理放在监管工作的首位。上个世纪90年代以来,不管是商业银行自身,还是监管当局都把风险管理放到越来越重要的位置。目前,各国金融监管当局和国际监管组织在风险管理方面已达成共识,把风险管理作为金融监管的核心。这种强调风险管理的理念在《巴塞尔新资本协议》中得到了充分体现。
1、随着社会的迅速发展,我国经济发展进入新常态,出现了经济增长动力与经济下行压力并存的复杂情况。这一复杂的经济形势对各个行业的生产经营提出了严峻的挑战,每一个经济活动参与主体都面临着经营风险提升、回报率下降、竞争主体多元化、金融风险复杂化、市场监管系统化严格化等一系列新挑战,银行亟需开展一系列业务创新发展来破解困境。而这些在经济运行中存在的突出矛盾与问题,导致了银行经营下滑。同时,科技创新、人力资源匮乏、市场需求变动等因素加剧了银行的经营风险。在这种机遇与风险并存的情况下,银行如何主动适应新的经济形势,正确处理业务发展与风险控制的关系在当前显得尤为重要。
2、(一)互联网经济持续高速发展,传统行业受到挑战
3、移动、互联网金融快速兴起,用户需求趋于个性化、多元化,新的客户群体衍生新的营销模式,“互联网+银行”冲击传统银行的市场份额,不断开拓新市场领域和新技术产品领域,对传统行业的销售网络优势、资源优势形成直接冲击 [1]。
4、(二)顾客自主选择不断增强,服务质量要求提高
5、随着科技的不断发展,互联网经济逐渐形成规模,电商平台改变了人们的购物方式,移动支付改变了人们的支付方式,共享单车改变了人们的出行方式。还有P2P平台、远程教育、互联网金融等,可以说互联网与人们生产生活的方方面面都息息相关,深刻改变着人们的生产生活方式。互联网经济发展潜力、覆盖领域巨大,对传统的线下实体销售产生了巨大冲击,服务方式也随之不断改变,品牌和服务已经成为银行重要的竞争手段,市场的竞争也不断从产品的竞争升级为品牌和服务的竞争[2]。
6、(三)经营收入来源空间变窄,核心技术及产品亟待创新
7、就目前的形势来看,经济下行、结构调整还将持续很长一段时间,银行收入渠道变窄、负债成本大幅上升。为了生存发展,银行必须将有限的资本、人力、技术等资源投入到高收益的产品或者市场内。而高收益必然要承担高风险,这使得银行亏损率上升。除此之外,创新也可以带来高收益,其风险相对可控。因此只有加大创新投入,在技术、产品以及市场上领先,抢占先机,才能在激烈的竞争中居于不败之地[3]。
8、二、转变业务发展与风险控制的理念
9、为实现业务发展和风险控制之间的平衡,要转变银行的经营理念,改变原有的经营模式。银行想实现质量及效益的统一发展,就需要建立起以业务发展和风险控制为主线的发展机制。在实现业务发展和风险控制的平衡发展的同时,银行在一方面要避免利润的片面最大化,建立起使银行股东利益最大化的经营理念,以资本约束的方式来控制业务发展中的风险。在另一方面上,应建立全面风险的管理体系,对经营过程实施全面的风险管理。
10、由于不同岗位、部门之间对风险的认识存在差异和矛盾,有些员工会认为风险控制与自己无关,没有形成良好的风险控制氛围,这样极大地影响了业务的发展和内部的和谐统一。因此,要定期不定期开展各类风险警示教育活动,进行风险自我排查、相互互查,不断督促员工树立合规合法的经营理念。
11、三、建立健全业务发展与风险控制的平衡机制
12、(一)加快完善技术及产品创新机制
13、在大数据与“互联网+”经济不断发展的今天,基于现有技术及产品的推陈出新已难以适应变化的节奏。要以独特性、适用性、完备性和效益性为出发点,完善创新体系和流程,建立健全创新容错与奖励机制。创新是实现发展的最大也最持久的驱动力,只有不断增强银行的创新能力,才能建立起核心竞争力,获得长期竞争优势。只有不断创新,才能领先于竞争者,不被市场所抛弃。
14、建立有效的银行管理制度,处理好安全与自主、替代与转型、风险与创新三方面的关系,实现“从封闭向开放”、“从粗放向精细”、“从失衡向平衡”的三个转变。要重视制度建设,对制度进行经常性、规范化的梳理和检查,不断优化、修改与完善,以适应银行发展、经营管理和运营环境的变化。同时要强化执行力,严格执行各项规章制度,不能流于形式,任何人不能搞特殊化,切实发挥制度对促进发展、提高效率和防范风险的作用。
15、(三)加快完善人力资源管理机制
16、许多银行存在发展迟滞、风险增加的现象是由于技术人员创新能力不足、员工素质相对较低、人员能力与岗位要求不相匹配等人为因素造成的。无论是技术的竞争、产品的竞争还是市场的竞争,归根到底都是人才的竞争。人力资源无疑是银行最宝贵的资源,人这一要素也是创新的最终源泉。“挖潜”、“整合”人力资源,有利于提高银行的整体竞争力,培育核心竞争力。银行应该从机制和培训两方面入手,建立健全队伍建设和职业发展机制,加强业务层级和授权管理,同时要重视员工培训;提高员工综合素质和业务技能水平,培养员工的事业心和责任感;充分发挥员工的主观能动性和自我约束能力,使每一位员工都能自觉成为业务发展的推动者和风险防范的控制员。
17、银行的目的是获取利润,要保证盈利,获取高额的收益;但是收益并非银行进行生产经营决策的唯一影响因素。一个银行想要持续健康地发展,仅仅依靠收益是不够的,银行应该提高风险控制能力。目前,我国的大部分银行在项目可行性以及投资回报率、投资回收期等关键指标上较为重视,但对于项目的风险测算以及收益风险平衡计算重视不足。因此对银行的投资及经营风险进行控制也就成为了保证收益的一大重要举措,我国银行在风险控制方面还有很大的改善余地。另外,还应拓宽收入渠道,分散经营风险,做到收入多样化,提高自身风险控制水平。
1、首先第一,我们体系遵循的标准,这里面分三块,第一,国际信息安全标准,27000,还有一个20000,还有等级保护的规范要求。对金融行业来说,06年发了一个信息安全保护的管理办法,公安部发的,2009年6月银监会出台的商业银行信息风险管理,最后一个就是今年刚发的电子银行安全评估指引,网上银行的交易量占的比重非常大,相关的案件也在不断的增多。所以我们整个体系遵循的标准主要是从这三个方面。
2、第二个方面体系建设的目标。作为一个银行,无论是做什么样的体系,它最终的目的是为我们银行客户服务,服务是第一目标,服务的对象是客户,对于信息系统来说,它要做的首先第一个就是整个业务系统的连续可用性,防止业务的中断,防止数据的丢失。目标就是怎样保障银行的业务系统的连续性。
3、第二,对应用系统访问的控制和授权的管理,防止非法访问,以保证信息资源和金融资源的安全,这个就是针对电子银行来说的,网上银行案件频发,绝大部分内部作案比外部的概率还要大多了,并不是外面的攻击比较厉害,我认为中国的网上银行的技术和复杂性,先进性,在世界上来说其他国家的银行还不存在的。我不知道大家使用过外资银行的相关网上银行没有,它登陆非常简单,应该说中国的环境比较复杂。
4、所以对我们银行来说,我们认为电子银行之外,包括我们核心也是这样。
5、第三,业务工作的责任和可操作性。
6、第四,业务数据的传输使用,存储过程当中的真实性。做安全的这三个要素是必不可少的。
7、第五个方面就是信息系统的实体安全,提高信息系统安全管理水平,这块是作为一个金融行业,或者企业来说它要保证他的实体的安全。
8、最后一个就是互联网及内网的安全,防范互联网的攻击,保证业务的连续性。互联网,网银这都是网上的应用,内网的安全在银行业逐渐加重了,以前防范的都是互联网的应用,在这上面用得是很多的。最近通过统计下来,在内网方面逐渐逐渐加大投入,基于内网事件的增多。
9、第三,就是我们整个体系的策略,目标定了,我们采用什么策略建设这个体系呢?我们从27000里面管理体系的要求,从11个方面进行制定策略。第一个安全方针。第二个方面是组织信息安全。第三,资产管理。第四,人力资源安全。第五,物理环境安全。第六通讯和操作管理。第七,访问控制。第八,系统性,以及信息安全事件管理等等,这些都是在商业银行指引方面的管理,在27000里年,20000里年,也是这些方面。根据这11个方面,我们区域银行的架构体系应该是怎么样?
10、先跟大家介绍一下,信息安全的架构,首先最上面就是安全的目标,目标是什么?就是安全的高效管理,风险控制,以及整个体系的建设,这是目标。包括管理上的安全,结构上的安全,资产化的管理,身份的管理,结构包括结构的溶于,数据的溶于等等。终端服务器,网络,主机等等,这是基础架构。
11、基础架构之上就是信息安全,信息安全主要是针对整个数据的内容以及数据操作的安全,这里面包括数据的泄露保护,现在商业银行已经在用了,文件的管理,文件的加密,传输,无论是网上银行,还是日常办公基本上还是使用的。
12、内容安全主要用得比较多的,从这里面发展多内网来的。最下面在信息安全的下层就是传输,包括数据的管理和加密。
13、第三层,就是安全的治理,包括安全监控,审计管理等等。IT的安全的治理是一个长期持续的工作目标,它主要是依赖于对整个平台的支持,真这个信息安全一个框架,我们建立了三大体系,就是从技术上,管理上和运维上三个方面来承载着我们整个信息安全。
14、可以看到,从技术角度来看,整个安全保障体系包括物理安全,保障安全,数据安全,备份的安全,这里考虑的东西也很多,包括我们现在谈论最多的是电源的问题,数据中心的电源的问题,这也包含在安全之内,包括地震造成的数据中心的(英语),这也是物理安全之一,在07年银联建立数据中心,因为他也没考虑到物理安全,发了台风以后,把数据中心淹没了,这个谁也没想到,把数据中心给淹了。北京地铁也经常被淹,这里也是物理安全的一部分,水灾,电,防火,都是物理安全领域里。
15、第二是网络安全,有网络的溶于,网络的防控,线路的备份等等。网络安全考虑得比较多的是基于互联网的网络安全这一块儿,在内网像银行基本上做到了内外网的物理的隔离,当然在相关的安全指引里面,要求做到隔离,但是在银行系统有些银行做得比较充分的银行,基本上做到了内网和外网的物理隔离。
16、我们的内网有两个部分组成,一个部分是我们的核心业务,你们的银行的数据,你们账户的数据,交易的数据等等一系列的都是在内网里面。
17、第二,我们银行内部使用自企业内部的系统,也是内网里面的,这两个部分基本上做到物理隔离,我们银行对客户的数据,我对他的访问基本上也做到一个隔离。
18、我们谈谈外网,就是我们现在使用最佳频繁的互联网的应用。在金融行业做到了完全的物理的隔离,我们现在技术也挺多的,比如说现在用我们机器,他只能上一个网,要么进内网,要么进外网,现在有个技术叫双硬盘技术,同样一台机器做个切换,两块硬盘,两个操作系统,在同一时间只能上一个网,这也是根据人民银行银监会的要求,金融行业基本上都做了。
19、还有主机安全,这个主机安全包括你们数据所用的核心的主机,也包括你们到我们历史数据相关的其他的一些小机去获取也都在这里。
20、从管理这条线来讲,第一就是安全策略,你要做管理,你首先对你整个安全要统筹考虑,你必须要有稳当做支持,我相关的策略要记载下来,要有它的延续性。
21、其次,信息安全的组织和管理,任何一个企业他对信息整个安全体系要根据商业银行信息安全管理要求,要求整个信息安全的组织架构必须从董事长开始,分管信息安全的是你们企业单位的运行层的高管,但是他直接汇报是向董事长汇报,而不是向运行层的一把手,商业银行已经把信息安全提到很高的位置上。银行董事长下面是行长,董事长是管理层,行长是经营者,副行长应该向行长汇报工作,但是在整个信息安全架构里面不是这样的,副行长直接就直接向董事长汇报,这是商业银行的要求。
22、还有一个要求,整个信息安全有三道门,这里面得非常清楚。
23、第四个是人力资源管理,我不是专家,但是这里面的东西也很多,我相信你们到一家企业也会遇到很多的问题,比如进一家企业你要做什么不知道,有人会告诉你,告诉你做什么你就做什么,有人跟你说你就知道,没人跟你说,你做了几天也就知道了。你走的时候也一样,一个单子给你上面签好字你就可以走了,只是履行了一个表面的书面的流程而已。实际上你来的时候,拿我们人力资源管理来说,你签到的时候,你应该有哪些权利,享受哪些待遇,拥有哪些资源,支配哪些资源都有相应的人来告诉你。
24、有些人走了,他离开了,他的企业邮箱还在,这个很简单吧,什么时候给他删了还不知道。这会带来其他的问题,如果说他对某些银行业,企业的核心资源有支配权的话,他的债户还在话,引发的风险是什么呢,这个风险在98年的时候就有相关的一个案例,哪家银行我就不说了,他们的ATM网,他的运维给外包的一个公司了,那个公司在那长期的合作,但是有员工跳槽走了,那个员工在这台机器上他有相关的权限和密码,他进了机器以后,让机器记载下客户的账号和密码,他在后台然后他复制,复制了以后,他就用复制的卡去消费,这在九几年就已经发生了,当然去年也有发生过类似的。最后查出来也很巧,他只是复制了某家银行的信用卡,这家银行有个共同的特色,就是通通是在另外一家银行的一台机器上操作的,通过银行的系统查出来,查出来以后,这台机器是谁用的,以前是谁来运维的,反向一追诉,追诉了这家公司来做的,他们公司有个人跳槽走了,反向追溯到这个人,这是96年发生的一起案件,就是利用了在人力资源上没考虑充分,相关的权限没放开,导致了我们出了一些风险。
25、08年的时候类似的案件又发生过,也是相同的。所以人力资源不仅仅是一个人是否生病了,由于他生病对我系统,对我日常工作带来影响,是否是他人本身的原因,同时你要考虑这个人进入离开我的企业,他所掌握的资源的一些问题。
26、第五个就是物理与环境的安全,通讯操作管理,这都是企业内部的管理,还有访问控制管理,特别是新系统的获取开发应用这块,对银行业来说感触是最深的,因为这是属于三分离的东西,实际的现实是人少,这几个部门都在一个人身上体现出来。这在前面说的相关案件里面也存在类似的问题。对银行业来说这方面体现得比较深刻一点。
27、最后我说一下运维这块,运维体系是一个部分,包括服务台,可用性管理,IT服务持续性管理,能力管理,服务级别管理,内容我们初步分了,一个是从技术角度,一个从管理角度来块12个方面。从安全技术这块,包括应急,支持,通道,检查和分析,从管理的角度,服务,级别管理,配制管理,发布管理,这里面还有培训,应急,演练。这是整个运维体系的内容。
28、大家可以看到,首先整个流程的发布就是从服务台出来的,服务台作为整个事件的输入和管理,事件管理以后,一个事件管理,一个问题管理,这个是不是有区别?这个有定义的,是有区别的,事情来了以后,在没有判别它的故障等级的情况下,影响范围的情况下,那么它仅仅是一个事件,对事件的管理要求最快效应速度,所以很简单,你们到银行去办一个业务,突然银行关门了,业务办不了了,所有的储户都着急了,这就属于事件。这个事件的时候,我们对它的处理是最高的相应级别,我们就是越快速越好,使客户第一时间能够得到解决,当然方法有很多种了。如果说系统坏了,或者网络坏了,等等其他原因,银行都有相关的措施。
29、但是对于事件来说,如果事件辩明了原因在哪,就要到后台去,事件管理只是初步的,临时性的解决这个问题,对于问题来说有后台,对整个问题进行分析以后,对整个事件深层次的一个解决,他要提出他解决问题的一个方案,如果涉及到整个系统,或者整个环境的变更,你要提出变更的管理,如果涉及到应用,就要进行到配制管理,经过审核以后,才能够进行管理的处理。所以在问题管理这里面,是在事件管理之后,但是它的要求要根本性的解决一个问题。最终的结果反馈到服务台。这对我们银行来说是这样的。
30、另外还有一个问题,无论是件还是变更,最终配制的管理,我们每家银行都有一个热线,你刚打的时候,每一个人的问题都不太一样,但是每家银行反应的速度都很快,就是因为它有知识库。从这上面看,我这是一个运维的管理模式,因为现在是安全和运维分不开的。我现在做的问题是基于原来运维基础上做的东西。所以这是三大支柱来构建一个企业的安全体系。