吉宁讲师观点 / 企业培训师观点 / 企业培训师观点:IT风险管理不容回避

企业培训师观点:IT风险管理不容回避

吉宁博士 2015年12月11日 企业培训师观点

风险管理来源:

  ·业务风险管理和IT风险管理

  应对策略:

  ·通过改革建立IT风险管理机制度。利用IT风险管理形成技术保障

  创新手段:

  ·风险分类由5级分类细化为12级。启动IT服务管理项目(ITSM)

  对于一向重视风险管理的中国光大银行而言,在经营中主要面临两大类风险:一是业务风险,即各类银行经营业务中的风险;二是IT风险,即支撑银行各类业务运行的关键是IT系统,IT系统的重大故障对银行日常经营构成了巨大威胁。两手抓,两手都要硬,才能做好银行的风险管理工作。

  从5级细化到12级

  “银行的风险管理既要靠人来管理,又要靠技术来支撑,而机构的建设和制度的完善是首要问题。”光大银行风险管理部相关负责人介绍说。为此,光大银行在风险管理方面下了很大力气来完善管理制度。

  2005年,光大银行为加强风险管理,提升经营的集约化水平,在整体组织架构和业务流程、市场营销体系、风险管理体系、预算与考核分配体制等方面进行了一系列改革,从而进一步完善信贷审批体制,引进专家审批制度,加强信贷风险防范;推进稽核体制垂直化管理改革,提升稽核工作的独立性和有效性等。这些措施的实施,对该行长效发展机制,提升风险管理能力和水平,改善业务模式等产生了较大的推动作用。

  2006年,光大银行在风险管理方面又推出了一系列改革措施:在分行设立风险总监;设立对公授信业务风险经理,负责贷前审查和贷后管理;设立零售授信管理中心,负责零售业务的贷前审查和贷后管理;加强重点区域、行业、产品和业务的检查与监控,风险分类由5级分类细化为12级,实行拨备预算管理和拨备考核;加强对分行风险管理部门的垂直管理,银行整体风险管控能力进一步加强;推进柜台经理派驻制,有效防范和控制柜台业务操作风险;进一步加强经营集约化和管理的集中化,陆续实施了行政公章集中管理、授信业务集中审核放款出账、保证金集中监控、银行承兑汇票集中管理和签发、票据贴现业务集中办理、对公业务抵质押物集中管理、档案集中管理、费用集中报账等。
IT也会成为风险

  银行运用信息技术处理业务活动的信息系统和与生产经营信息、研发和服务能力、管理水平等信息化活动,会产生大量的风险,这就涉及到银行IT风险管理。它不仅涵盖了传统的操作风险、信誉风险,还包含了在银行的经营管理过程中,所表现出的许多与信息化相关联的其他类型风险。商业银行的内控应该以风险管理为中心,尤其离不开IT风险管理的支持。

  据光大银行信息科技部运行处专家介绍,IT风险完全不同于业务风险,具体表现在:

  1.业务风险发生后一般可以通过业务流程、法律手段等加以弥补,而IT风险发生后往往难以弥补;2.IT风险的对象既有人也要考虑各类技术设施,相对来讲比较复杂;3.业务风险通过制度、流程、审批等环节能够基本加以控制,而IT风险中的IT设施自身存在这样那样的缺陷,要控制就相对复杂;4.IT风险发生后波及范围大、影响大,例如目前大多数银行采取的IT系统大集中模式,一旦IT风险发生,将会影响到上百万的用户。

  鉴于以上这些问题,银行IT风险的管理与控制,将不同于业务风险的管理,业务风险的关键点在流程与审批上,需要设计合理的流程、安排合适的人员角色,并严格监督管理,而IT风险在考虑流程的情况下还要考虑IT体系的监控,IT架构合理性设计、各类操作流程的管理、IT技术与管理知识库的建设等方面,所以目前光大银行采用国际流行的ITIL理论进行IT风险管理体系的建设。

  同时,光大银行关注细节的风险控制理念,引入国际知名咨询公司毕博帮助建立风险管理系统,该系统已达到目前国内银行业领先的风险管理技术标准。

  每天护航400万笔业务

  目前,光大银行投入运行的IT生产系统有近50套,为全国大集中的模式,承担着光大银行每天近400万笔金融业务的运行,IT的各类故障直接影响到银行的服务,同时也将对银行的安全产生重大的威胁。

  因此,从2005年开始,光大银行根据自身的实际情况,启动了IT服务管理项目(ITSM),首先解决IT关键操作的控制、IT系统监控、IT架构管理、IT维护管理等主要问题,在实施项目的过程中充分考虑IT审计等内容。通过IT服务管理项目(ITSM),建立起IT管理的架构,在架构中将人员、流程、知识与各类技术设施有机结合起来,做到对IT故障、资源、各类事件等的管理。

  在之后一年的IT运行当中,此架构发挥了重要作用,光大银行未发生一起重大IT事故,IT系统的运行服务正常率大大超过业界平均水平,同时利用IT管理架构,有效地利用了各类IT资源,通过系统的优化,节省了费用,提升了系统效率。IT系统的正常运转,大大降低了光大银行的IT风险,也为风险管理的实施提供了有效技术支撑和保障。
专家提示

  欺诈风险管理的挑战与对策挑战:欺诈风险管理分散

  对策:

  建立统一的风险管理战略

  我国大多数商业银行一直采取“四级经营、四级管理”的模式,管理层次多,分支机构具有一定的资产业务决策权,银行总部对基层机构控制力不足,从而导致银行战略意图从总部向下的传导不够通畅。

  另外,我国商业银行对欺诈风险的管理大多实施的是风险的分散管理,即不同类型的欺诈风险由不同的部门负责,信用卡欺诈由信用卡中心负责,网上银行欺诈由电子银行部门负责等。

  面对挑战,国内商业银行需要建立统一全面的欺诈风险管理战略。这种管理要求将内部欺诈、外部欺诈等不同风险类型,公司、零售、金融机构等不同客户种类,资产业风险,都纳入统一的风险管理范围,并将承担这些风险的各个业务单位纳入到统一的管理体系中,对各类风险依据统一的标准进行测量并加总,依据全部业务的相关性对风险进行控制和管理。全面欺诈风险管理是商业银行经营业务多元化后产生的一种需求。风险管理部门要通过风险管理规划、制定风险管理政策等方式,实现全行集中的欺诈风险管理架构。

  挑战:业务操作管理监督滞后对策:加强运营实时监测

  由于时间滞后,现行的事后监督难以发挥主动监督的作用。同时实现以业务流程为中心的风险管理,要求我国商业银行风险管理体制实现横向延伸,推进风险管理关口的前移。因此,银行应加强业务运营实时监测,把风险监测点由事后监督向事前和事中监控推进。

  银行需要建立一套中长期的风险识别、风险度量的预警制度,把安全监控的“闸口”前置,解决苗头性问题,避免防范的盲目性,降低金融安全风险。银行可以实施基于统一的基础信息平台的运营监测系统,逐步建立能够主动监测、有效防范各种欺诈风险的管理系统,把隐患消灭在萌芽状态,为开展有效内部控制和建立全面风险管理体系打下坚实的基础。

  挑战:信息利用低效和高额重复投资对策:构建整合的欺诈风险管理平台

  由于大多数银行的风险管理系统是在不同时期、不同管理部门根据各自的业务和风险管理需求建立的,各系统技术平台各异。各个分散的系统相互之间不能实现风险管理的信息共享,无法整合、利用各业务条线预警信息,使得银行难以及时发现潜在的欺诈风险隐患。重复建设的风险管理系统也会产生大量的数据冗余,而导致更高的数据整合成本和IT维护成本。

  银行通过建立整合的欺诈风险管理平台,将银行欺诈风险管理策略和政策落到实处,并为风险管理流程提供有效支撑。该平台不仅能满足整合和处理全部业务数据并予以综合分析的需求,也要满足监控单一客户在银行全部业务的需求,实现对单一客户全流程管理。

  挑战:难以识别新型的欺诈风险对策:采用先进的反欺诈信息技术

  随着信息技术的飞速发展,欺诈风险呈现出由传统作案向高科技作案转变的特征。传统作案手法技术含量低,而高科技作案则通过诸如信用卡、网上银行等新型金融工具达到作案目的。

  因此,银行需要利用商业智能技术,对数据进行抽取、集成、转换和综合分析,实现对各类风险的监控和有效管理,这也是国际银行业风险管理信息分析和风险管理决策采用的主流技术。商业智能的自学习能力也能帮助银行识别各种新的欺诈类型和欺诈手段。进行欺诈识别时,不是按照现行标准以单条记录作为单位进行比较,而是分别按账号、开户人、开户人所属组织以及相关联组织机构等多个层面,对交易的各个特征属性值进行全面分析和比照,从而发现异常交易行为。

  

About 吉宁博士

真正的实战派企业培训师,长期致力于人力资本、公司行为、市场营销、企业战略及领导力发展等组织实践与研究,数十年来参与及主持过的管理咨询项目累计逾千次;受邀主讲过的各类企业培训课程累计逾万次。