银行管理中的信息化管理技术

一、我国银行信息技术风险管理存在的问题

我国银行信息技术风险管理起步较晚，目前还处在初步探索阶段，现行的信息技术风险管理还存在很多不足之处。

（一）缺乏完善的银行信息技术风险管理相关的法律法规

完善的法律法规是实现银行有效信息技术风险管理的基本前提，是银行信息安全的第一支柱。国内银行信息技术风险管理相关法律法规的建设远远不能满足当前银行信息化管理的要求，电子银行的风险管理、银行信息系统安全评估标准、银行网站建设规范、客户隐私保密等都缺乏有效的法律法规来进行约束。此外，法律法规的更新工作不到位，部分现行的法律法规与信息技术的发展已经出现了背离，相关的修订和补充工作迫在眉睫。

（二）银行信息技术风险监管基本处于空缺状态

在美国等金融体系比较成熟的国家，银行信息技术监管已经成为了银行的常规现场检查的基本内容，并建立了详细的现场检查程序和标准，对信息技术风险的防范措施比较到位。我国银行信息技术监管还处在起步阶段，在技术风险现场检查和风险评估等方面都没有一个明确的规范化、制度化的参考标准，在技术风险非现场监测系统建设方面基本处于空缺状态。

（三）银行监管人员的知识结构不合理

银行信息技术风险管理有其独特的一面，要求监管人员在熟练掌握银行业务知识、网上银行、电子交易等新银行业务知识的基础上，还要具备良好的计算机应用以及管理方面的能力。当前国内银行监管当局工作的重点主要集中在对传统银行业风险监管上，对监管人员在计算机知识方面的要求较低，监管人员知识结构的不合理降低了对银行信息技术风险管理的水平、

（四）缺乏完善的银行信息技术安全审计体系

银行技术安全的专业性较强，需要外部评估机构对其进行专门的监管。与美国相比，我国的银行技术安全审计体系主要存在两个方面的不足：一是合规的外部安全评估机构较少，其评估结果权威性较差；二是银监会对外部评估机构的监管力度较弱，没有一套完整、规范、标准的审查程序和监管体系。

（五）缺乏合理的信息技术风险评估的指标体系

在银行信息技术风险的现场检查工作中，需要利用相应的风险指标来对信息技术的风险水平进行相应的定性和定量分析，以此来判断整个信息系统的安全性。在国内还没有一套完整的信息技术风险评估指标体系，现场检查工作得出的结论难以体现出科学性和客观性，削弱了银行信息技术风险管理的风险控制水平。

（六）对外包风险缺乏必要的控制

国内部分银行也实行了IT服务外包，但对外包风险管理缺乏必要的控制，银行对外部的依赖性较强，对外包商的控制力度较弱，同时，银行监管机构也没有一套完整的体系来对外包机构进行评估和监管。

二、国外银行信息技术风险管理对国内银行的启示

尽管国内银行体系的发展与国外有些差异，但从银行现阶段的情况来看，有很多地方都是需要向国外银行学习的。

（一）建立健全的信息技术风险管理法律法规体系

法律法规的完善是保证信息技术风险管理有效执行的前提，建议从以下几个方面来完善相关法规建设：完善信息技术风险管理所涉及的范围；建立完整的风险监管体系；建立合理的信息技术风险评估的指标体系；建立科学风险评估体系；建立银行信息技术安全审计体系。此外，还要注意相关法律法规的及时修正和补充。

（二）加强银行IT审计

首先，银行领导层要充分认识IT审计的作用，完善银行公司治理机制；其次，要积极解决IT审计人才不足的问题，调整信息技术风险管理人员和监管人员的知识结构，提高银行对信息技术风险管理的控制和防范水平；第三，银行监管当局要重视IT审计，把IT安全作为监管的重要内容，将IT审计作为评价其安全性的重要因素，通过现场及非现场对银行业进行督促。

（三）重视信息技术风险评估和外包风险控制

风险评估作为银行信息技术风险控制和系统安全建设的基础，指导银行信息系统系统安全技术体系和管理体系的建设。因此，要重视信息技术风险评估工作，充分利用信息技术风险评估指标体系来实现对信息技术现场检查工作的客观化、科学化和规范化。此外，银行监管当局和银行本身都要借鉴国外发达国家的实践和经验，加强外包风险控制。

三、结语

从上述的分析中可以看到，与国外发达国家相比，我国银行信息技术风险管理还存在很多不足在之处。对此，银行要结合自身的实际情况，汲取国外银行技术风险管理的经验，不断提高和完善自身的信息技术风险控制、防范和化解水平，进一步提高银行的信息系统安全。

作者：刘超举 单位：中国农业银行牡丹江市分行