中小银行系统开发建设的风险管理

近年银行业频发的信息科技事件，无论是信息系统中断引发的业务连续性风险，还是网银系统客户资金被盗事件，最终排查原因，往往是由于信息系统的缺陷和薄弱点所导致。可以说，信息系统的健壮性是有效抵御各类信息科技风险的关键，而纵观信息系统的全生命周期管理，缺陷和薄弱点多来自于开发建设阶段，因此，从源头上遏制信息科技风险的关键在于解决好信息系统开发建设过程中的各类问题和风险。

一、信息系统开发建设现状

        中小区域性银行（以下简称“中小银行”）一般是指城市商业银行、城市信用社、农村商业银行、农村合作银行、农村信用合作社、村镇银行等机构。

        中小银行的信息系统有两种分类方式。一是依据支撑业务的重要程度，可分为核心业务系统和外围系统两类。核心业务系统一般指处理客户信息、存款产品、支付服务和总账的信息系统，主要支撑银行的存款、贷款、结算等业务；外围系统是指居于核心外围，最终需要与核心业务系统发生交互才能处理业务的各类系统，常见的外围系统包括：银行卡系统、网上银行系统、ATM前置系统，大小额支付系统、前端柜面系统、财税库银系统、电子商业汇票系统等，这些系统支撑着支付结算、代收代付等中间业务以及各类电子交易渠道业务。

        二是依据系统功能，可分为产品及客户管理类、渠道管理类、决策管理类系统等三类。产品及客户管理类系统主要包括：对公贷款、对公存款、对私贷款、对私存款、支付结算、投资银行、贸易融资、衍生产品、国际结算、基金产品、外汇理财产品、代理业务、信用卡、总账，对私客户关系管理、对公客户关系管理、客户信息管理等系统；渠道管理类系统主要包括：前置类、柜员类、ATM、POS、银行卡、自助终端、网上银行、电话银行、手机银行等系统；决策管理类系统包括：绩效考核、风险管理、资产负债管理、财务管理等系统。

        中小银行信息系统的建设方式有自主建设、外包建设以及合作建设（部分外包）三种模式。当前主要呈现的特点，一是核心业务系统建设“以自建为主、部分外包为辅”。二是网银、手机银行等电子银行建设“以外包为主、自主建设为辅”：

二、存在的主要问题

        目前，中小银行在信息系统开发建设中主要存在以下问题。

        1.组织机制不到位。一是开发管理的组织架构不健全。中小银行开发力量普遍较为薄弱，目前，国内各省级信用联社及规模较大（资产1000亿以上）的城市商业银行基本都在科技部门内设立开发管理团队，然而，开发管理人员普遍不足，不能满足开发生命周期中各岗位的设置要求，部分开发人员同时负责应用系统维护；村镇银行及规模相对较小的城商行、农商行等机构多数都未设立专门开发管理部门或团队。二是制度流程不完善。中小银行多数都未制订涵盖系统开发生命周期的完整开发管理制度和流程，已有制度对信息系统开发的立项审批、可行性研究、需求分析、设计、编码、测试以及项目质量控制、风险控制等方面的规定不到位。

        2.安全管理不到位。一是未在系统开发建设工作中严格落实项目管理的规范。中小银行普遍未对系统开发项目采用标准的项目管理工具实施管理；在信息系统建设前的各项工作不到位，对项目启动风险把控较弱，如，可行性研究、成本效益分析、风险评估等工作开展不足；在信息系统开发过程中的时间进度和财务预算管理等工作不到位。二是开发建设的安全要求不明确、执行不到位。中小银行普遍缺乏信息系统开发安全的管理制度及流程，缺乏信息系统安全方面的规划，需求分析中缺少安全控制要求，系统设计中未对安全要求进行相应设计，代码编写阶段缺乏源代码安全审查相关的规定、流程和措施。

 1 2 下一页 尾页

扫码即可手机
阅读转发此文