银行信息管理系统论文

银行信息管理系统论文（共8篇）

银行信息管理系统论文 篇1

浅析银行信息系统开发与管理

对于现代化商业银行来说，数据是基础，信息是依据，决策是关键，效益是目的。分析银行业务的信息流和信息系统建设，具有重要的社会意义，信息系统的建设和发展策略已经成为现代化银行经营策略的重要组成部分。我国银行应逐步完善数据的应用，使之能适应业务数据大集中的优势，提供经营决策功能，从而为银行业务的发展提供有强有力的支持。

（一）银行信息系统建设中存在的问题

1、系统建设 缺乏整体规划

我国银行信息系统的开发工作缺乏科学系统的指导方法，长期没有统一的发展规划，统一的标准规范以及统一的实施方案，很多商业银行在进行软件开发时，没有做详细量化的可行性研究与分析，不进行仔细的系统调研，不能从技术、经济环境等方面论证并研究软件项目的可行性，并准确确定工程规模，具体目标及对建设系统进行仔细的成本效益分析。目前多数银行采用的项目开发方式为：业务部门根据市场需求提供需求书，与科技部门讨论，科技部门或者开发公司根据需求完成功能设计，然后由业务部门确认反馈意见，继而进入开发阶段，项目开发后期业务人员进行相应测试和上线验收。

在实际运作中发现普遍存在以下问题：一是项目方案缺少充分论证。二是由于开发时没有整体考虑，往往顾此失彼。三是业务部门的随意性给科技部门项目协调带来很大困难。这种现象还表现在各银行在计算机工程人员上配臵上偏重于程序人员，没有考虑系统分析人员的重要性。在务部门管理人员配臵上，偏重于业务，没有考虑技术和项目工程人员的重要性。致使银行信息系统建设队伍缺乏一批既懂业务又懂技术的人员。

2、数据采集规范性低，查询不方便

目前，从业务网点至总行的各个环节，数据、信息的传递仍然以书面报表和报告为主，各部门单一业务系统为辅，信息采集中存在各部门多头采集的问题，没有进行积极有效的沟通，也没有统一的指标体系，使得各系统的数据口径，报送时点等不一致，既导致各个系统的信息无法共享，造成管理资源利用的低效率，也无法保证数据的真实性，或者各部门都不采集，形成管理上数据的的死角。系统在采集数据时和业务联系的精密度低，未考虑业务的发展，以及未来的相关模型建立所需要的基础信息数据。

另外，管理信息系统的查询功能不尽完善、不直观，无法满足监管和管理上灵活多变的查询要求，统计工作存在大量的手工。一个好的信息系统应当避免信息的采集的重叠、遗漏以及滞后的情况，同时需要和业务精密联系，加强信息真实性的检验，完善基础查询和灵活查询功能，为银行统计、风险信息暴露、管理模型提供可靠的及时的信息来源。

3、缺乏科学的分析方法和手段

我国目前正在运行的银行信息系统一般都只具有比较简单的分析处理功能，不支持复杂的数学模型，无法对金融风险进行有效的测评，使得一些潜在的金融风险无法通过系统及时发现，银行管理仍然停留在依赖管理人员自身的业务素质和直觉判断的基础上。

4、信息系统对操作风险的防范不够完善

信息技术的发展推动了商业银行服务质量和服务效率的提高，但接踵而至的是风险的明显增加，除信用风险和市场风险外，操作风险已成为银行最重要的风险之一。操作风险反映在信息系统方面主要是指不完善或有问题的内部程序、系统权限的篡改、操作员使用的混乱、角色权限不及时的调整、离职调岗人员操作编号的不及时停用等等，导致了信息系统对操作风险防范的遗漏。

另外，问题出现在风险信息的及时反映上面，银行的有些损失就是由于有关不正当活动的信息本应该及时反映的，但却没有及时反映在高级管理层的提醒界面，或者信息系统中的风险信息不完整，因而尽管银行已经事实上出现问题，但给人留下的印象仍然是运转正常的假象，从而造成问题日益严重。

5、信息系统的结构不尽合理

我国银行信息系统是以综合业务系统作为核心系统，对后台最为关键的决策系统的开发不够重视。同时由于各子系统的标准化程度低，包括信息报送格式的标准化，数据接口的标准化等，使得整个信息系统框架中信息的收集，存储，传递和加工，利用等各个部分还不能循环互动，造成了银行系统的辅助决策支持功能得不到有效发挥，从某种意义上来说，目前还没有真正建立起一套完整的决策支持系统。

6、银行信息系统不应过于依赖外包

随着我国银行信息系统全面快速发展，不少银行认为外包有益于跟踪最新技术动态，加快新技术的应用，且信息系统的外包可以降低成本。而事实上一个信息系统的成本核算不仅仅是开发成本，这是一部分可见的成本，后期维护成本还占有很大的比例，甚至超过开发成本。如果没有一个真正懂系统的内行服务，往往事倍功半。而且银行通常会遇到一个问题，开发公司往往没有对行内科技人员进行培训，或者培训十分简单，即所谓的‚黑盒‛培训。加之后期开发公司的维护人员不连续，衔接性不够，后续维护人员对前期开发人员或者维护人员的程序不了解，造成维护版本混乱。

另外，银行的安全性也是一个非常值得关注的问题，银行对系统的安全性是非常敏感的。在开发公司主导的系统中，由于没有银行内部科技人员的全程跟踪和控制，难以发现程序中存在的重大漏洞。其次，在后期的维护过程中，为了解决问题，有时银行需要提供足够的信息（如信用评级模版、五级分类模型、企业规模测算模型、风险指标体系、客户信息、贷款信息等），这些信息可能就会在无意中形成对资金安全的隐患。

（二）银行信息系统建设的对策与建议

1、尽快制定银行信息系统的总体规划

银行信息系统亟需解决的问题是制定银行信息系统的总体规划。在银行内部，应该成立专门的银行信息系统建设领导小组机制，组织科技部门、业务部门和开发公司就信息系统的基本业务需求、业务流程、关键技术需求、系统的框架结构，应该遵循的各个标准，业务数据采集体系（包括数据采集的内容、方式、方法和途径），银行内部信息的管理及建设系统所涉及的规章制度、资金等重大问题进行系统科学的规划，成立相应需求组、网络组、技术组、制度组、保障组等，各司其职并密切协调，以保证未来各管理子系统之间的有效集成和有效共享。在制定总体规划时，应充分考虑国际金融发展趋势对银行未来管理所带来的影响，如金融的混业经营，新巴塞尔协议要求，IT技术在金融业应用方面的业务创新以及银行管理的最终有效形式‘实时交易和管理’等，使建设中的管理系统具有一定的前瞻性、开放性和兼容性。

2、借鉴成功跨国银行经验，完善银行信息系统的结构 银行信息系统的体系结构：

第一个层次：业务处理系统。包括综合业务系统、财务系统、信用卡系统、电子银行系统、信贷业务系统等，到目前为止，大部分银行业务处理系统已趋于将全行各种业务处理系统集成到统一的平台上，银行业务处理系统平台已经初步搭建。

第二个层次：管理信息系统。包括客户信息系统、人力资源系统、风险控制管理系统等。从银行目前管理信息系统的建设情况来看，尽管业务处理系统比较完善和先进，但由于内部缺乏统一的‘沟通’机制，信息有效利用率低。

第三个层次：决策支持系统。主要包括综合统计系统、商务智能系统、决策支持系统。该系统可以通过运用全行内外信息资源，建立各类模型库，方法库，并进行基于全行范围的客户、产品、财务、员工情况等的综合分析，实现对全行的各项资源和创新能力的最优化配臵。目前，很多银行还没有形成一个完整的商务智能决策支持平台。各业务处理系统和管理信息系统只反映了决策支持系统中可以结构化的一部分，反映了全行经营情况的某一侧面，真正意义上的决策系统还没有建立起来。这个层面的信息系统建设是银行信息系统的未来发展方向。

3、加强信息系统对操作风险的防范

加强对银行信息系统内部程序的检查，做充分的内部测试，试点上线测试，以及对系统正式上线过程中的程序问题，及时了解和收集，及时进行完善；同时做好压力测试，对一定操作量和业务量的压力下，系统的承受能力有充分的预估，确保系统稳定正常运行。加强对信息系统权限的控制，定期进行排查，如人员岗位的调整必须及时上报、角色权限的申请必须备案，同时需要加强对系统管理员的控制，系统内权限的调整需要进行复核。

采用安全系统平台通过密码定期更新、手纹识别等控制等手段进行系统安全登陆的控制。

对信息系统风险的识别、分析和控制,除了加强事后监督和稽核为主，还应对系统进行长远的规划和建立成熟的预防控制体系，加强对异常操作信息以及异常业务量信息的及时预警，同时要有强有力查询的支持，加强风险的暴露非现场检查提供支持，一旦发现问题，及时的进行现场检查，排查风险点，检验操作上是否存在违规现象。

4、运用数据仓库技术以实现其智能化的决策支持功能 数据仓库技术是近年来发展迅猛的一种新技术。所谓数据仓库，就是把一个银行的历史数据收集到一个中央仓库以便于处理，他是支持决策过程的、集成的、随时间而变的，持久的海量的数据集合。就银行而言，其大量的历史数据和当前数据都存在着重要的决策信息，如何管理这些浩如烟海的的数据以及如何从中提取有用的信息是决策系统必须要解决的问题。数据仓库的最大有点就是他能把全行不同信息岛上的信息集合到一起，存储到一个单一集成关系的的关系型数据库里面。利用这种集成的信息，可方便对信息的访问，更可使决策人员对一段时间内的历史数据进行研究分析，研究事物发展的走势。

5、建立相关模型库、方法库和知识库，逐步形成分析决策支持平台 数据库、模型库、方法库构成了决策支持系统最基本的内容，其中，数据库是银行决策支持系统建立的先决条件。模型库是决策支持系统的核心部分，方法库是各类模型必不可少的工具。同时，成立专门的模型库，需要培养一批专业的分析人员。决策支持系统技术含量高，综合性强等特点，决定了该系统需要大批的丰富的数理统计、计算机技术、管理经验的专业人才的支持。因而培养吸收这样的分析人才就显得非常迫切和重要。由于决策系统中的各模型库具有一定的独立性。因此，银行可以组建专门的技术开发小组来开发模型库和方法库，开发过程可以采用项目管理的办法管理，这对尽快建立银行信贷决策支持系统，提高信息系统决策支持功能具有深远的影响。

6、尝试‘借力外包’模式

银行信息化发展运用外包应该是一种必然，中国银行业面对的竞争是国际化的，银行IT部门有限的人员已经显得有些力不从心。但是银行信息系统外包应从哪些角度切入？在多大规模上实施？如何控制外包成本？如何保证安全性？这些应该是银行慎重思考的问题。银行内部在金融信息专业化的应用方面有自己的优势，和开发公司两方面结合，可以使信息系统应用更加完善。但银行必须在保证系统稳定性、完整性、可维护性和安全性的前提下，提高行内科技和业务人员素质，才能考虑外包。目前的情况下，银行内部可以充分发挥科技人才资源，调动其主动性，在外包公司的辅助配合下开发信息系统。

银行的管理工作的成败取决于决策的正确与否，而决策的正确与否取决于信息的质和量，正确、及时、适量的信息是减少不确定因素的根本所在，信息系统作为提供、处理和传播信息的载体能够对管理和决策提供支持作用。近年来，由于管理规模的扩大，管理的性质和环境发生了巨大的变化，管理决策问题不仅数量多，而且复杂程度高，难度大，决策科学化问题应运而生。随着计算机的发展，用信息系统支持的辅助决策系统已经成为决策科学化的趋势之一。因此，信息技术进入管理决策层是科技发展进程的必然规律，同时也是事关银行也改革和发展命运的大事情，面对经济金融全球化的挑战，我国银行业必须尽快弥补这一薄弱环节，加快信息系统的建设，全面提高信息技术在管理领域的应用水平。

银行信息管理系统论文 篇2

银监会为加强商业银行的信息科技风险管理, 提升信息科技风险管理能力发布了一系列的监管文件后, 在2009年3月份银监会正式发布了《商业银行信息科技风险管理指引》 (以下简称《指引》) 。该《指引》适用于在中华人民共和国境内依法设立的法人商业银行、政策性银行、农村合作银行、城市信用社、农村信用社、村镇银行、贷款公司、金融资产管理公司、信托公司、财务公司、金融租赁公司、汽车金融公司、货币经纪公司等其他银行业金融机构参照执行。本文试图让中小商业银行的IT人员了解《商业银行信息科技风险管理指引》, 以及如何建立满足《商业银行信息科技风险管理指引》的信息安全架构。

一、对《商业银行信息科技风险管理指引》的理解

本次颁布的《商业银行信息科技风险管理指引》共11章76条, 涵盖了信息科技风险管理的各个领域, 同时针对银行现有的组织架构, 对各部门也明确提出了风险管理的要求。下面将主要条款做一个深入的解析。

第一章总则, 明确了指引的目标和适用范围, 指出信息科技是指计算机、通信、微电子和软件工程等现代信息技术, 在商业银行业务交易处理、经营管理和内部控制等方面的应用, 并包括进行信息科技治理, 建立完整的管理组织架构, 制定完善的管理制度和流程。信息科技风险管理的目标是通过建立有效的机制, 实现对商业银行信息科技风险的识别、计量、监测和控制, 促进商业银行安全、持续、稳健运行, 推动业务创新, 提高信息技术使用水平, 增强核心竞争力和可持续发展能力。

第二章信息科技治理, 明确提出了信息科技治理的概念, 明确了信息科技风险管理的责任人和董事会的相关职责, 并明确要求商业银行应设立或指派一个特定部门负责信息科技风险管理工作, 并直接向首席信息官或首席风险官 (风险管理委员会) 报告工作。此章最重要的是明确了商业银行风险管理部门、信息科技部门以及内部审计部门在信息科技风险管理中承担不同的角色和职责, 互相协作、共同完善信息科技风险管理的架构。

第三章信息科技风险管理, 明确要求商业银行应制定符合银行总体业务规划的信息科技战略、信息科技运行计划和信息科技风险评估计划, 制定全面的信息科技风险管理策略, 建立持续的信息科技风险计量和监测机制。本章是从信息科技风险管理部门的角度, 提出商业银行信息科技风险管理的事前控制 (第一道防线) 。

第四章信息安全, 明确要求信息科技部门负责落实信息安全管理职能, 负责建立和实施信息分类、保护体系, 通过建立有效管理用户认证和访问控制的流程保障业务安全, 通过设立物理安全保护区域保障物理安全, 通过将网络划分为不同的逻辑安全域保障网络安全, 通过操作系统和系统软件的安全控制保障系统安全, 同时加强信息系统、终端设备、传输控制、信息保护等方面的安全, 并对员工进行持续培训, 通过建立信息安全体系, 全面控制信息安全方面风险。此章是参考了国内外信息安全最佳实践 (ISO27000与等级保护) , 针对信息科技部门, 提出信息科技风险管理的事中控制 (第二道防线) 的重要组成部分。

第五章系统开发、测试与维护, 明确要求对信息系统进行需求分析、规划、采购、开发、测试、部署、维护、升级和报废, 制定制度和流程, 采取适当的项目管理方法, 控制信息科技项目相关的风险。采取适当的系统开发方法, 控制信息系统的生命周期。应制定相关控制信息系统变更的制度和流程, 确保系统的可靠性、完整性和可维护性;应制定并落实相关制度、标准和流程, 确保信息系统开发、测试、维护过程中数据的完整性、保密性和可用性等具体要求。此章是针对软件开发与项目实施部门, 提出信息科技风险管理的事中控制 (第二道防线) 的重要组成部分。

第六章信息科技运行, 明确了商业银行数据中心物理环境要求、人员岗位职责要求, 并要求商业银行制定详尽的信息科技运行操作说明, 建立事故管理与处置机制及时响应信息系统运行事故, 建立服务水平管理相关的制度和流程, 建立连续监控信息系统性能的相关程序, 制定容量规划应及时进行维护和适当的系统升级, 制定有效的变更管理流程以确保生产环境的完整性和可靠性等。此章主要参考了ITIL最佳实践, 针对数据中心与运行部门, 提出信息科技风险管理的事中控制 (第二道防线) 的重要组成部分。

第七章业务连续性管理, 明确要求商业银行根据自身业务的性质、规模和复杂程度制定适当的业务连续性规划, 以确保在出现无法预见的中断时, 系统仍能持续运行并提供服务, 定期对规划进行更新和演练, 以保证其有效性。此章主要参考了BCP最佳实践, 针对业务运营部门, 提出信息科技风险管理的事中控制 (第二道防线) 的重要组成部分。

第八章外包管理, 明确商业银行不得将其信息科技管理责任外包, 应合理谨慎监督外包职能的履行, 针对外包方选择、外包谈判、外包协议, 外包执行中的信息安全等方面提出了明确要求。此章是针对商业银行各部门的外包合作, 提出信息科技风险管理的事中控制 (第二道防线) 的重要组成部分。

第九章内部审计, 明确商业银行内部审计部门应根据业务的性质、规模和复杂程度, 对相关系统及其控制的适当性和有效性进行监测, 至少应每三年进行一次全面审计。在进行大规模系统开发时, 要求信息科技风险管理部门和内部审计部门参与, 进行专项审计等。此章主要针对内部审计部门职责, 提出信息科技风险管理的事后控制 (第三道防线) 的重要组成部分。

第十章外部审计, 明确商业银行在符合法律、法规和监管要求的情况下, 委托具备相应资质的外部审计机构进行信息科技外部审计。此章主要从外部审计角度, 提出信息科技风险管理的事后控制 (第三道防线) 的重要组成部分。

通过《指引》解析可以看出, 《指引》的编写借鉴了Cobit, ISO27000, ITIL, CMM, BCP等国内外的最佳实践, 为商业银行的信息科技风险管理指明了方向。同时, 本《指引》从商业银行信息科技相关的每一个主要部门的角度出发, 分别提出具体的监管要求, 从而使得其具备非常强的可操作性。

二、商业银行的应对措施

依据IT风险管理原则与IT风险管理生命周期方法论, 综合通过差距风险获得的具体需求, 设计、规划IT风险管理的目标框架, 指导IT风险管理机制与体制建设。其目标框架如图1所示。

(一) 组织体系建设

建立IT风险管理组织, 采用条线与层级相结合的矩阵式管理模式;建立常设IT风险管理的专业团队, 采用虚拟团队的方式向全行提供IT风险管理专业服务;并设立必要的实体化专业支撑中心。

(二) 管理流程制定

融合IT风险管理生命周期与主要IT流程, 针对IT操作风险与信息安全风险, 建立总体与具体两个层面的风险管理流程, 明确各层面IT风险评估流程的触发机制, 将风险与安全管理工作制度化、日常化, 确保其有效执行。

(三) 控制体系建立

根据风险评估结果、IT风险管理原则及控制策略设计控制措施, 通过完善的IT风险制度体系加以明确, 并通过风险监测与再评估实现对IT风险控制的持续改进。

(四) 技术架构完善

完善信息安全规划的基础设施/技术架构, 设计IT风险管理技术架构, 并推动安全信息管理技术平台的建设以及推广;通过IT风险管理框架, 商业银行可以形成3道防线。

1. 第一道防线

由策略保障体系、组织保障体系、技术保障体系构成完备的信息科技风险管理体制与基础安全控制设施, 形成事前防范的第一道防线, 为业务运行安全打下良好的基础。

2. 第二道防线

由运行保障体系构成事中控制的第二道防线。通过周密的生产调度、安全运维管理、安全监测预警, 及时排除安全隐患, 确保业务系统持续、可靠地运行。

3. 第三道防线

由应用恢复保障体系与内外部审计构成事后控制的第三道防线。针对各种突发灾难事件, 建立灾难恢复与业务持续性计划, 进行应急演练, 形成快速响应、快速恢复的机制, 将灾难造成的损失降到组织可以接受的程度。通过内外部审计, 保障IT风险管控体系的有效运行。

(五) 利用两种风险控制手段

1. 事件识别

为获得组织的第一手的风险资料, 需要对IT风险事件进行分类, 建立IT风险事件的管理组织与流程, 制定风险事件响应机制。事件的收集与分析也可用于预测未来发生系统故障的可能性, 及时采取必要的控制。

2. 风险管理

风险管理包括风险评估与风险控制。风险评估是指从风险管理角度, 运用科学的方法和手段系统地分析信息与信息系统所面临的威胁及其存在的脆弱性, 评估风险事件一旦发生可能造成的危害程度;风险控制是对已经评估出来的风险要进行风险控制措施的规划与实施, 以建立有效的IT风险控制及日常运作机制, 把IT风险降到组织可以接受的水平。

(六) 利用两种监督措施

1. 风险检查

安全检查工作一般由风险管理部门和信息安全管理部门来负责实施, 经常性的检查有利于落实信息风险管理的方针与策略, 及时发现在技术、人员及流程方面存在的风险隐患, 也有利于提高员工安全意识, 保证业务的持续运行。

2. IT审计

银行信息系统弊端甚巨 篇3

最近，媒体广泛报道了广东开平案和江苏铁本案，加上此前的上海周正毅案和新疆啤酒花案，银行风险似乎危机四伏，防不胜防，在大家忙于制定各种规章制度“亡羊补牢”时，却有一个关键问题似乎被忽略了，那就是银行的信息系统问题。

先看广东开平案和江苏铁本案。小小一个开平支行，许超凡、余振东、许国俊等人前后控制10年之久，开平支行如同一个坚硬的“地堡”，把那些见不得人的勾当掩盖得严严实实。而最终被发现，还是中国银行决定将过去1040个电脑中心统一成一套系统，集中设置33个中心，从汇差数据不一致顺藤摸瓜才将此案暴露，但60亿元的巨大“黑洞”已经形成，至今无法弥补。江苏铁本案也如出一辙，小小的一个地市分行却敢授信放出巨额贷款，总行全然不知。难怪以前有一位商业银行行长感叹道，从总行到基层分理处，上上下下要经过6个层次，总部政策到达基层，真正全面贯彻需要至少四年时间，总行对全系统的情况基本上处于闭目塞听的境地，所谓风险控制和有效管理都是一句空话。相比之下，国外银行营业终了之时，总经理对当天经营成果、风险状况、成本控制等一目了然，真可谓是“一切尽在掌握之中”，而做到这一点全有赖于其高效、通畅的内部信息系统管理。

再看上海周正毅案和新疆啤酒花案。两个案件情况不同，但有一点却是共同的，都是信息不畅通。目前，我们国家的银行之间信息是相互封闭的，一些人正是钻了这一空子，通过注册不同的皮包公司，或者通过关联公司进行担保，在不同银行间来回骗取贷款和授信，而银行对这样的“黄金客户”不识庐山真面目，竞相垒“大户”，不知不觉中已进入“雷区”。这就是说，不仅一个银行系统内部，银行与银行之间的信息沟通同样存在障碍。

再来看看一些上市银行，同样是由于信息问题，轻则被监管部门处罚，重则遭到投资者起诉，信誉严重受损。

无论是银行内部的信息系统，还是银行间的信息共享，抑或是银行信息的披露，任何一个环节只要信息失真，便有可能留下隐患。作为管理者也好，作为同业竞争者也好，作为利益相关者也好，其一切决策均建立在真实、可靠的信息资料上，没有这一基础，一切无从谈起。

银监会最近出台的国有商业银行法人治理结构改革方案明确提出，要加强信息科技建设，全面提升国有商业银行的综合管理与服务功能。要求国有商业银行加强信息科技建设，提高信息科技处理能力，满足业务管理和业务发展以及风险管理的需要，使之成为提高产品市场竞争力和加强管理的有效手段。同时，在制定中国银行和中国建设银行股份制改革试点考核指标时，在成本收入比指标上留出一定空间，督促其尽快建立快速、高效的信息管理系统。

应该说，这些年商业银行在信息系统建设也没少花钱，但问题是缺少统一规划，各自为政，画地为牢，没有全局观和前瞻性，最后是劳民伤财，甚至只为为少数人发财致富提供了途径和机会。因此，在今后的信息系统建设中，一定要突出专业、超前、实用、统一的原则，一定要通过公开外包的方式，通过市场化途径让专业公司来完成。

据悉，银监会正在加紧建立相关监管信息系统，系统建成后对整个银行业信息的集中和监测将大为改观。凭借这一系统，将改变目前主要依靠举报信息进行监管的被动局面，可以通过非现场监管，发现问题，主动出击。同时，可以对重点贷款户实行持续监管，全过程监测，银行监管效率必将有一个大的提升，监管工作的主动性将大为加强。

银行信息披露管理工作也要加强。银行对外的信息披露不仅关系到投资者的利益，更有利于监管者借助资本市场这一机制，对上市银行进行全方位的外部治理，即将上市银行的一切置于公众和媒体的监督之下，有利于其规范操作，迫使其去追求“阳光下的利润”，减少违法违纪事件的发生。监管部门将在已有信息管理的基础上，进一步加大对商业银行信息披露的管理。

银行信息管理系统论文 篇4

为提高突发事件应对能力，确保全行信息系统稳定高效运行，近日恒丰银行南京分行成功举行了科技信息系统应急演练，各项应急资源、应急预案、组织管理、运行维护等得到了全面检验，技术人员和业务人员的沟通协调和应急处置能力得到了有效提升。

应急演练前，南京分行制定了应急演练预案，成立了应急演练领导小组、实施小组、保障小组，提前告知总行、监管部门和辖内分支机构，并在自助设备周边张贴演练告示，避免因应急演练而产生的误解。明确了相关部门或岗位在执行应急预案中的工作职责，并制定完善的应急保障措施和应急回退方案，一旦演练过程发生问题，及时实施回退方案。应急演练时，组织对分行综合业务系统、信贷影像缓存系统、电子验印系统、事后监督系统、公文处理系统、网络通信系统等12项系统进行全面检验，真实模拟了供电设施、通信网络、科技设备等现实故障环境，精心布置了断电、前置机故障、终端网络故障、上联通信网络故障等多种情况。从应急演练情况看，相关人员能够有序进行应急处理并向客户作出合理解释，各类系统出现突发故障能够快速切换到备份机，保持了营业秩序的有序性和业务办理的连续性。（恒丰银行南京分行 管小冬）

省联社科技信息部于2009年完成了核心账务系统的应用级灾备建设，2010年完成了前置系统的灾备建设。为切实防范信息科技风险，检验同城灾备系统和应急预案的可用性和有效性，确保发生灾难时生产系统能够快速安全的切换到灾备中心，并采取正确、有效的应急措施，确保信息系统安全、稳定、持续运行，按照人民银行和银监会要求，科技信息部提出了三年十项信息系统应急演练申请报告，今年内计划实施四项。4月11日，经省联社主任办公会通过，经过充分的前期准备，4月29日，科技信息部选择业务相对较少的营业日终时段成功实施了切换演练。本次演练模拟前置主机发生故障时，主备机P570-A及P570-B间HA切换及回切，涉及银行卡、电话银行、大小额、农信银、横向联网、国际结算、理财、境内外币支付、加密平台等9个系统。演练从4月29日21：00开始，分为4个阶段，维保公司7人，另有5名应用系统工程师提供远程技术支持。4月30日3：00整个演练过程结束，比原计划提前了一个小时。目前系统运行平稳。

通过本次演练，省联社科技信息部进一步熟悉了应急处理和灾难恢复流程，进一步提升了应对突发事件的处理能力。

本报讯（通讯员 陆建敏）为确保年终决算的顺利开展，11月16日至24日，鄞州银行开展了科技信息系统大演练，全行16名业务骨干参加了此次演练。

本次演练本着边演练、边检查、边整改的原则，通过对第三季度科技人员连续的大范围应急演练，取得了良好的效果，发现并处置了3个大的安全隐患，确保了该行业务系统安全运行。

银行信息管理系统论文 篇5

（征求意见稿）

第一章

总 则

第一条 为加强村镇银行计算机信息系统的保密管理，确保国家秘密的安全，根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、《计算机信息系统国际互联网保密管理规定》等有关法律、法规，制定本办法。

第二条 本办法适用于村镇银行系统采集、存储、处理、传递、使用、输出和销毁涉及国家秘密的通信、办公自动化和计算机信息系统（以下简称“涉密计算机信息系统”）。

第二章 组织与职责

第三条 村镇银行科技部门负责对村镇银行计算机信息系统保密工作进行工作指导、协调。科技部门牵头成立计算机安全检查小组负责具体计算机信息系统保密的检查工作。

第四条 村镇银行计算机信息系统的保密管理坚持“业务谁主管，保密谁负责”的原则。即特定计算机信息系统的保密管理工作由村镇银行或支行主管该系统的部门或岗位承担。

第五条 计算机信息系统的保密管理工作，应主动接受国家有关保密部门的业务指导和监督。

第六条 计算机信息系统的业务负责部门应协助计算安全检查小组，定期组织开展要害部门和重要岗位计算机信息系统的保密技术检查，发现问题应及时整改。第七条 涉密计算机信息系统的使用部门应加强员工保密知识的学习教育，严格执行有关保密管理规定，协助村镇银行科技部门做好涉密计算机信息系统的日常管理工作。

第八条 涉密计算机信息系统工作人员的职责要求：

（一）选配涉密计算机信息系统管理人员应按国家有关规定进行严格审查，岗前保密培训，并保持相对稳定；

（二）涉密计算机信息系统工作人员应严格执行有关保密管理规定和操作规程；

（三）涉密计算机信息系统工作人员应自觉接受村镇银行保密部门的监督检查。第九条 各支行和员工发现下列问题应及时采取补救措施，并报告保密部门。

（一）发现保密方面的漏洞和隐患；

（二）发现违反有关保密规定的行为；

（三）发现泄密事件。

第三章 系统规划建设

第十条 涉密计算机信息系统在使用前，必须报村镇银行保密管理部门审批，审批办法依照中保委《涉及 国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》（中保办发[1998]6号）执行；已投入使用而尚未经过审批的涉密计算机信息系统，要按上述办法补办审批手续；未经审批或审批不合格的涉密计算 机信息系统不得投入使用。

第十一条 规划和建设涉密计算机信息系统，应同步规划建设相应的保密设施。第十二条 涉密计算机信息系统的规划、研制、安装和使用，均必须符合保密要求。

第十三条 安装、使用涉密计算机信息系统的场所，应按国家有关规定，与办公驻地、人员住所保持相应的安全距离，并根据处理信息的涉密程度设立必要控制区，无关人员不得进入。

第十四条 安装、使用涉密计算机信息系统的场所应采取有效的安全保密措施，有关设备的技术措施 应得到国家保密部门或有关主管部门的认可，其他物理安全要求均应符合国家有关保密标准。

第十五条 保密部门应定期组织对安装、使用涉密计算机信息系统场所的保密技术检查。

第十六条 保密部门应依照有关法规和标准对建设中的涉密计算机信息系统进行保密监督和技术检 查。

第十七条 在采购计算机安全产品时，其产品必须有国家安全管理部门颁发的许可证，选购的密码产 品应符合国家有关主管部门对普密、商密管理规定。

第四章 涉密信息管理

第十八条 存储涉密信息的计算机媒体介质（包括软盘、硬盘、光盘、U盘等），应按所存储信息的 最高密级标明密级，并按相应的密级进行管理；对不再使用的媒体介质应送交保密部门及时销毁。

第十九条 涉及国家秘密和村镇银行商业秘密的信息，不得在与国际互联网相联的计算机信息系统中编 辑、存储、运行、传递、发布，确保信息的机密性、完整性和可用性。

第二十条 上网信息的保密管理实行“谁上网谁负责”的办法。各级行应根据国家保密法规，实行上网信息保密审批领导责任制，提供主页制作服务的单位，要对自己制作的主页承担具体保密责任。

第二十一条 涉密信息必须按照保密规定进行采集、存储、处理、传递、使用和销毁，应当符合下列 要求：

（一）计算机信息系统存储、处理、传输、输出的涉密信息要有相应的密级标识，密级标识不能与正文分离；

（二）涉密信息在存储、传输中，必须采取加密措施，防止信息非授权泄露；

（三）使用加密措施应当与涉密信息的密级相同，并得到有权部门认证；

（四）涉密信息的复制、分发、输出必须得到有效的控制，并按相应密级的文件进行管理；

（五）涉密信息的销毁必须有效且不可恢复。

第二十二条 凡使用电子邮件进行网上信息交流的，应当遵守国家和村镇银行有关的保密规定，不得转发、传递或抄送国家秘密和村镇银行商业秘密信息。第二十三条 涉密信息的数据库必须有与涉密信息密级相适应的安全保密措施，确保涉密信息在建 库、检索、修改、输出等环节的保密。

（一）用身份验证方法对用户注册和鉴别；

（二）对不同用户设置不同的用户权限，控制用户对数据的操作权限和访问范围；

（三）建立系统日志和数据备份。

第五章 系统管理

第二十四条 涉密计算机信息系统，不得直接或间接与国际互联网或其他公共信息网络联接，必须实行物理隔离。

第二十五条 涉密计算机信息系统应采取有效的防病毒、防黑客措施。外来文件在执行或打开前，应先进行病毒和黑客程序的检测和清除。

第二十六条 涉密计算机信息系统中涉及国家秘密信息的各种程序，应当在建库、检索、修改、打印 等环节设置保密措施，其保密措施应按处理秘密信息的最高密级进行管理。

第二十七条 涉密网络内部，应当采取身份认证、数字签名、访问控制、监控管理、信息加密、数据 保护、审计跟踪等措施。

（一）涉密网络的访问应按权限控制，不得越权操作。访问、处理秘密级、机密级信息，应按用户类别控制；

（二）涉密计算机网络系统的通信应采用完整性校验技术，以确保信息的完整性；

（三）涉密计算机网络应当采取身份认证技术，防止冒充和非法访问；

（四）涉密计算机网络应采用加密措施，保证信息在处理、存储、传输过程中的安全性。

第二十八条 涉密计算机网络系统应当符合《涉及国家秘密的计算机信息系统保密技术要求》所规定的其他安全保密措施。第二十九条 涉密计算机在进行维护检修时，对涉密信息应采取安全保密措施（将涉密信息转储后彻 底删除）。无法采取上述措施时，安全保密人员和业务人员必须在维修现场，对维修人员、维修对象、维 修内容进行监督并详细记录。

第六章 考评及奖惩

第三十条 村镇银行要定期对涉密计算机信息系统的运行、维护、使用情况进行检查和综合考评，并对检查和综合考评结果予以通报；对在计算机信息系统保密工作中做出显著成绩的单位、部门和个人，应给 予表彰。

第三十一条 违反本规定的使用单位、部门和个人，由村镇银行保密部门责令其停止使用，限期整改。对拒不执行整改，又不停止使用，而造成泄密的，应根据《村镇银行违规违纪行为处分管理办法》，给予有关责任人相应处罚。对违反本规定泄露国家秘密的，依据国家有关规定和法律，追究有关领导和直接责任人的责任，造成重大损失的，要从严处罚，直至追究刑事责任。

第七章 附 则

第三十二条 各支行可依据本办法，结合实际情况，制定具体实施细则。第三十三条 本办法由村镇银行负责制定、解释和修订。

银行信息管理系统论文 篇6

关键词：外包 信息技术 银行

中图分类号：F830.3 文献标识码：A 文章编号：1007-941609-0216-01

当前，大多的企业战略都会选择信息化建设，其在企业经营中扮演着非常重要的角色。银行信息技术作为一种新型的企业业务运作形式是必然的趋势所定。所以，研究银行信息技术的外包风险是具有十分重要且必要的意义。

1 银行信息技术外包的定义

银行信息技术外包（以下简称为TT外包）是指银行与IT服务商签订合作协议， 一般情况下，银行的IT工作人员与资产是由IT服务商进行管理，且IT服务商要提供给银行部分/全部的IT功能。IT外包是银行获取竞争优势的非常重要且必段的手段，其优势表现在：IT外包的实行可让银行最大限度的运用IT服务提供商所提供的专业技能、先进科学的管理经验来取得业务、成本、专业的优势。

2 分析国内银行IT外包存在的风险

2.1 没有将IT外包风险确实并入系统风险管理的领域

现在，国内大部分银行的系统风险管理水平还非常初浅，有明显的漏洞存在，缺失风险管理文化与理念。粗放式经营思想普遍存在：重视营销却轻视管理；重视外部却轻视内部；重视数量却轻视质量。全行风险管理战略未细化，全体股东风险偏好不清楚。具体的风险系统管理方面，IT外包风险还未被纳入银行系统风险管理的领域，而是过度夸大了信用风险在风险管理中的重要的地位。对银行方面信用风险虽然在很长的一段时间内是银行风险管理的主要内容，可以，忽视的IT的外包风险，甚至忽视了IT外包风险的潜在威胁，只是一味的去强调信用风险的重要及必要性。就在这样各部门只是局部重视IT外包风险的管理和预防时，是没有办法将风险管理归入至总体的框架中，由此在未来则可能会在IT外包风险后出现无法掌控的局面，而重视的是一旦出现了这样的问题，会让银行在市场上的形象大打折扣。

2.2 IT外包风险组织架构的不完善

从风险管理组织架构来说，未有创建首席信息官（CIO）的管理体制（由董事会领导），无法真实的建立起由CIO负责的全行IT外包风险的一体化管理的机制，只是将信用风险、IT外包风险（包含IT外包风险在内）、市场风险全部归入至首席风险官（CRO）来独立管理，同时需要注意的是，IT的外包风险会在某个具体的环境会把三种风险混合至一起发生渗透与串联。正因如此，如果风险一旦发生起来，没有相对稳定的专业风险管理专家队伍系统分析和管理风险，长此以往将可能导致各种风险分散管理的事态。

从风险管理组织架构的角度出发是暂时没有办法对IT外包项目经验以及风险经理机制进行系统的建立和推行的改革。风险经理指的是系统风险管理各项政策的终点站，是全行风险、建设内控体制的组成部分，需要一定的时间来进行沟通、交流、合作，让IT外包项目经理和风险经理的配置比最终实现合理。

2.3 不能很好地对 IT外包进行全流程控制

村镇银行信息安全管理现状探析 篇7

目前, 我国村镇银行机构逐步发展成为服务“三农”和小微企业的新生力量。但通过对甘肃省12家村镇银行了解和现场调查发现, 支持其业务运转和发展的信息化建设严重滞后。随着现代银行对信息科技的依赖日益加剧, 村镇银行如何破解信息化建设支持业务发展的难题已迫在眉睫。本文以甘肃省敦煌市辖内的金盛村镇银行的信息安全情况调查发现为例, 对村镇银行的信息安全进行探讨。

一、背景

敦煌金盛村镇银行由敦煌农村合作银行发起, 注册资金为1 200万元, 于2008年6月30日正式挂牌营业。目前机构从业人数14人, 营业网点2个。

截至2013年9月末, 金盛村镇银行资产总额为13 284.54万元, 负债总额11 361.13万元。各项存款10 912.33万元, 较年初增加1 333.7万元, 增幅13.92%;各项贷款余额7 010.98万元, 较年初增加1 394.54万元, 增幅24.83%, 存贷占比64.25%;完成营业收入617.63万元, 同比增加117.37万元, 增幅23.46%;本年累计实现账面利润228.59万元, 同比增加154.55万元, 增幅208.73%;注册资金已增至1 500万元。

二、安全管理现状

村镇银行当前的信息化建设在一定程度上支撑了目前的业务发展, 但从长远看却依然是制约业务深入全面发展的短板。通过对敦煌金盛村镇银行的调查发现, 主要存在以下问题。

(一) 信息安全组织架构不完善

据调查, 金盛村镇银行的核心系统建设模式是依托发起行敦煌农村合作银行的模式, 即村镇银行直接联网至省联社, 由省联社提供的核心业务系统进行业务处理, 其中银行的核心数据备份、运行管理等等同于省联社对敦煌合作银行的管理操作, 而村镇银行其自身关注的重点则在网络设备、线路及柜面设备的正常运行。目前村镇银行并未设立专职部门和人员管理本行的信息安全, 而是完全依靠敦煌农村合作银行进行管理。

(二) 机房建设硬件设施不达标

金盛村镇银行的信息科技投入不足, 基础设施薄弱, 如计算机房设计简单, 机房供电、空调、主机、存储和网络等关键基础设施设备未实现冗余配备, 且部分设备性能较差, 安装达不到国家规定的安全运行环境标准, 从而造成信息安全存在风险隐患。

(三) 系统连续性管理与应急能力不够

一是系统风险隐患较大。金盛村镇银行核心系统较为简易, 目前使用的系统是2011年8月由省联社开发并投入使用, 需要经常进行补丁更新和升级, 系统运行的稳定性和安全性较差。此外, 村镇银行的核心数据完全依托发起行, 而本地发起行又由省联社统一进行管理和维护, 且村镇银行本系统信息管理人员为单人, 自身存在对系统了解不清、问题掌握不全面的现象, 同时也存在数据泄密隐患, 业务中断风险较大。二是应急管理能力较弱。由于目前金盛村镇银行采取的是外包给发起行的运维模式, 相应的突发事件应急预案也只是延续了敦煌农村合作银行的相关方案, 无法结合自身实际进行应急演练, 一旦出现突发事故, 将导致全行性的业务中断与客户流失, 引起业务系统瘫痪, 甚至造成社会不稳定。如2013年5月, 酒泉电信局突然断网, 直接造成金盛村镇银行全行性的业务系统停运达一个多小时。由于自身科技力量的限制和相关应急预案的缺失, 村镇银行没有能力自行解决, 单位负责人只能先向发起行反映, 再通过省联社科技部门与酒泉电信局进行沟通、协调后才最终解决问题。

(四) 业务外包依赖程度高, 管控能力弱

一是金盛村镇银行由于机构规模小, 没有能力自主开发系统建设, 相应的系统信息安全技术完全由甘肃省联社科技部完成, 而省联社科技部发展思路主要是针对全省的农村信用社业务发展而研发的, 目前尚未开发针对村镇银行业务发展的相应系统;随着村镇银行业务发展的壮大, 目前的运作系统很大程度上已无法满足农民日益迫切的新兴电子化金融服务或产品的需求。二是目前的村镇银行科技力量薄弱, 人员构成简单, 尚无专职系统管理员和运维人员, 出现系统问题只能向发起行“求救”, 过度的依赖使得村镇银行自身无法对系统进行有效监管, 势必导致系统运维管理的不规范。

(五) 信息发展管理意识淡薄

一是村镇银行对信息化建设模式缺乏有效的分析和投入, 没有研发出符合自身需求的信息模式;二是对信息发展意识不到位, 目前的村镇银行关注最多的是存款、利润、收息、不良贷款等传统指标, 对信息化建设的效益潜能分析不足;三是只重视信息发展的表面现象。据调查, 金盛村镇银行虽然已根据《村镇银行信息科技建设与管理指引 (征求意见稿) 》、《商业银行信息科技风险管理指引》等, 初步制定了《敦煌市金盛村镇银行计算机管理制度》、《敦煌市金盛村镇银行信息统计管理规定》等信息科技管理制度及操作流程, 但对涉及信息安全管理的部分内容, 却并未建立实际意义的信息安全管理制度。

三、相关建议

(一) 出台村镇银行信息科技建设规范性文件

加强村镇银行技术标准化建设是农村金融机构信息化建设的重要任务, 银监会等相关部门对现有的村镇银行信息技术法规和标准进行全面检查、清理和规范, 并根据《村镇银行信息科技建设与管理指引 (征求意见稿) 》等, 研究制订新的系统性发展规划, 为加快村镇银行信息化技术规范和标准体系建设的步伐提供纲领性指导。

(二) 村镇银行应尽快依据自身情况选择合理的运维模式

与大部分的商业银行相比, 村镇银行数量较少、经济基础薄弱, 结合金盛村镇银行实际情况及资金、人员等条件来看, 要采取既节约成本, 又能有效支持未来业务发展的运维模式。

(三) 建立完善的信息安全管理规章制度

一是加强内控制度建设, 做到“制度防内”。一方面, 村镇银行应尽快完善信息安全组织架构, 建立适当的信息安全管理委员会对信息安全政策进行审批, 对安全权责进行分配, 并协调单位内部安全政策的实施。二是建立信息安全防范体系, 做到“技术防外”。一方面, 村镇银行的发起行要加强灾难备份中心建设, 完善信息安全应急恢复体系, 加强安全监控;另一方面, 村镇银行自身要进一步完善信息安全应急处置机制和信息通报机制, 制定应急预案并进行演练, 提高金融信息系统预警、应急处置和恢复能力, 保障金融业务的连续、安全和稳定运行。

(四) 加强对村镇银行科技业务的指导

发起行应发挥自身在信息科技工作方面的经验与优势, 对村镇银行的科技工作进行指导和帮助。一是协助村镇银行制订信息科技战略规划, 为村镇银行信息科技重大事项和决策提供专业建议, 协助村镇银行开展信息科技建设及风险管理;二是加强村镇银行员工的信息安全教育, 强化信息安全意识, 避免因人为因素造成的信息安全事件发生;三是加强对信息科技管理专业人才的培养, 建立一支具备专业知识的监管队伍, 既要掌握银行监管法律法规, 还要对金融新产品、电子技术有相当的熟悉程度, 探索出一套符合本行实际的信息科技监管体系。

(五) 将信息安全风险管理纳入村镇银行整体风险管理框架

银行信息管理系统论文 篇8

监管对信息化建设新要求

过去五年，我国银行业信息科技建设取得了长足进步，全国银行机构信息科技总投入和科技人员数量逐年增加，多家银行机构将IT风险纳入全面风险管理。从总体情况看，影响我国银行业信息科技稳健发展的关键问题正在有序解决，信息科技治理稳步提升。银行在信息化建设保持迅速发展的同时，也面临三个矛盾：一是信息化建设复杂度不断提升与资源和管理能力发展滞后的矛盾，与银行业务迅猛发展相比，信息科技在组织机构、人才、技术、经验等方面均储备不足；二是应急管理能力提升与业务连续性管理能力相对滞后的矛盾，我国银行机构灾难备份和应急管理能力稳步提升，但与业务连续性管理全面要求还有差距，对业务连续性的认识还有待深化；三是电子银行蓬勃发展与信息科技风险突出的矛盾，截至2010年，超过100家国内银行机构开展网上银行业务，交易总金额增长迅猛，已成为银行主要交易渠道，由此带来的容量压力显现，同时，手机银行业务增长迅速，相关风险骤增。

为推动提升我国银行业信息化建设与信息科技风险管理水平，加强行业信息交流和共享，探讨“十二五”银行业信息科技发展战略，中国银监会开设了中国银行业信息科技风险管理年会并将其制度化。在2011年11月举办的“中国银行业信息科技风险管理2011年会暨银行业信息科技风险管理高层指导委员会第一次会议”上，监管部门针对银行信息化建设面临的矛盾和潜在风险，结合行业现状与特点，对银行机构提出了新的要求：

夯实全面风险管理基础。银行应加强数据治理和数据标准工作，从战略角度启动和开展数据治理工作，将数据治理与IT治理、公司治理有机结合起来。加强全面风险管理的信息系统建设，新监管标准对商业银行风险管理的精细化、透明化提出了前所未有的高要求，特别是对数据的完整性、准确性、一致性和及时性要求很高，这些都要通过IT系统实现。银行要统筹开展IT架构规划，保证资源投入，切实完成符合新监管要求的数据基础设施和应用系统建设，并通过这一过程促进系统全面整合和共享，不仅为风险管理，也为产品开发、业务经营、管理决策等应用系统的架构提升奠定基础，进一步发挥信息科技引领作用，促进IT战略与业务战略的协同。

切实提升银行信息科技风险管理能力。银行机构应将信息科技风险纳入全面风险管理，培养对信息科技风险的内生抵御能力。注重IT治理，借鉴国际经验，切实把握信息科技风险管理中的主要矛盾，挖掘深层次问题，解决形似神不似的问题；加强信息科技规划，建立专门管理团队，完善规划的制订、评价、更新机制，全面开展应用架构、数据架构、基础架构的规划整理工作；加强IT内部审计，发挥审计第三道防线的作用。

同时，成立银行业信息科技风险管理高层指导委员会，以加强对银行业信息科技发展与风险管理的专业指导；深入传导监管要求，为银行信息化建设提供决策咨询；促进部门、行业之间的沟通交流，促进银行机构之间的相互协作。银监部门将努力完善信息科技审慎监管框架，不断提升信息科技监管有效性。

创新对信息科技的内在要求

21世纪的银行业是以信息科技为基础的，信息科技已完全“集成”到银行的业务和经营管理过程，与其“一体化”，成为其不能缺少的组成部分。银行转型和电子银行发展对科技创新和风险管理提出了更高的要求。

我国银行业在经营模式上最显著的变化之一，是电子银行高速发展。电子渠道在降低成本、扩大交易规模、加快产品创新速度等方面的作用日益显著。据统计，2010年，国内某大型银行电子银行的交易量相当于其17000个物理网点的交易量。在电子银行体系中，业务、科技密不可分，业务模式创新、产品研发，都需要信息科技最直接、最有力的支持。

银行业务转型的一个重要机制，是银行内部有功能完善的业务流程，具备高度差异化的产品功能与定价功能，而合理的业务流程需要各应用系统之间良好的互联互通和数据信息共享。

银行业围绕业务结构优化和流程银行改造，以及客户信息和风险数据的整合，要求信息科技有更快的响应能力、更安全的保障能力、更强大的支持能力，达到有效细分市场，有效识别客户，满足客户个性化、综合化要求的经营目标。这需要银行机构进一步促进信息科技与业务的融合，增强信息科技创新与服务的能力，充分发挥信息科技引领作用。

“十二五”期间，我国银行业发展的方向，是锐意进取，科学创新，不断提高发展质量和水平，确保更加安全、稳健，更加有竞争力。信息科技要承担起提升金融创新能力，强化风险管理，提高发展质量的使命。首先，信息科技要成为推动银行转变发展模式，实现差异化战略的关键原动力。创新是银行业发展的源泉，创新的核心已经不是简单地增加产品种类，而是要跟踪消费者需求，以信息科技的广泛深入应用，开展一系列的制度、流程、产品的再造和创新，提升竞争力。树立科技引领的理念，逐步推动信息技术与业务发展的深度融合，为可持续发展夯实基础。其次，信息科技要成为构建全面风险管理体系的助推器。银行机构要建立一体化全面风险管理体系，涵盖各类风险，贯穿风险战略制订、风险监控、风险管理和压力测试各个环节，这要求银行机构以业务和风险管理为基础，以信息科技为手段，加快建立数据标准体系，加强数据治理，提高风险数据质量，构建全面风险管理基础设施，实现风险计量精细化，风险决策科学化，风险管理体系化。

风险管理对信息科技内在要求

随着IT技术和互联网的发展应用，信息科技成为银行运行中最关键的因素，银行业的风险特征也随之发生了显著变化。信息科技应用最显著的效果，就是带来了交易量的高速发展，同时也增加了市场的复杂性和脆弱性，增强了风险的传染性，实质上形成了新的风险类型。2010年以来，世界范围内银行业信息科技风险事件频发。例如，2011年4月，韩国农协银行内部网络遭黑客攻击，导致部分数据被删除和篡改，大量服务器瘫痪，系统服务中断三天，影响正常业务开展；澳大利亚国民核心系统故障。这些事件体现了信息科技风险的突发性、传导性和放大效应。

金融危机后，国际金融稳定理事会等一些国际组织，对金融危机中银行业风险管理和IT建设所暴露出的问题进行研究和探讨，认为金融危机最深刻的教训之一，是金融机构IT系统不能有效支持风险数据整合，导致风险数据失真，不能在企业层面和跨业务条线层面识别风险。因此，建立更加完善的信息系统，关系到银行机构风险防范的长期性和有效性。同时，完善的信息系统也是银行完善运营机制、提升管理效率、丰富产品和服务、强化风险管理的有力支撑和保障。

当前我国银行业身处复杂的国际经济金融环境，时值“十二五”开局之年，信息科技要承担起提升金融创新能力，强化风险管理的重要使命。我国银行业金融机构要保持清醒的头脑，以更加宽广的视野、更加前瞻的思维谋划信息科技发展蓝图；要进一步树立合规意识、忧患意识、风险意识，以“保运营安全、促业务发展”为主导思想，加强领导、统筹规划，加强保障、有序推进，以科技进步和创新推动银行核心竞争力的提升。