论商业银行信息系统风险评估与控制

　摘要：信息系统风险是在商业银行的日常经营中客观存在的。因此，商业银行必须提高自身的管理与控制水平。通过阐述商业银行信息系统风险模型，提出了相应的评估方法与风险控制措施，并提出了“持续风险管理”的理念，以及具体的操作方法。
　　关键词：商业银行；信息系统风险；控制

　　为了有效防范银行信息系统风险监管，银监会正式颁布了《银行业金融机构信息系统风险管理指引》，以促进我国银行业信息系统安全、持续、稳健运行。作为基层银行，就要认真学习商业银行信息系统的特点，建立适合商业银行风险特征的评估模型，运用先进的风险评估方法，逐步完善信息系统风险评估的流程，并通过信息系统风险评估的手段，保障企业信息资产的安全，确保系统数据的完整，使商业银行适应复杂的运行环境，满足日益强化的风险管理需要。
　　一、商业银行信息系统风险模型
　　商业银行信息系统风险评估模型基本上可以划分为基于业务风险控制的风险评估模型和基于信息技术控制的风险评估模型。商业银行信息系统按业务划分，主要业务模块包括柜面业务系统， ATM、POS、网上银行、电子商务支付和客服中心等，其中柜面业务子系统包括：存取款、贷款、信用卡、中间业务、国际业务、结算、代收代付等。其商业银行的业务功能结构如图1。
　　以上可以看出，基于业务风险控制的风险评估模型是针对业务流程的控制和业务的风险管理，是信息系统在规划、研发、建设、运行、维护、监控及退出过程中由于管理缺陷产生的操作、法律和声誉等风险[1]。
　　另一类是关于技术控制的风险评估模型。这类模型建立在相关的信息安全标准之上，主要考虑的是安全技术的实现架构和实现方式，并以此来评估系统的技术风险。银行的安全架构是由物理设备安全、网络安全、交易安全和数据完整性安全等，其中交易安全包括：密码技术、身份认证和安全交易技术。其层次结构如图2。
　　随着信息技术应用的普及，网上银行、手机银行飞速发展，随着银行业务的拓展，各种中间业务等银行新型业务和金融产品的出现，银行信息系统开始不同程度向外界开放，对银行开放信息系统的依赖越来越强。加上各商业银行实行数据大集中，将过去保存在基层的存贷款等业务数据集中到高层数据库存放，导致单笔交易所跨越的网络环节越来越多，银行信息系统对通信网络依赖程度越来越高。
　　电子金融服务的发展，使商业银行信息系统开放运行，与公共网络连接，暴露在公共网络具有各种威胁底下，网上银行、手机银行、电子商务支付等银行新业务，在成为商业银行利润增长点的同时，导致银行信息系统的风险剧增。商业银行对信息系统的安全性要求进一步提高。
　　二、商业银行信息系统风险评估方法
　　商业银行在面对实际的信息风险时，需要建立定位于信息全面管理的风险评估模型。信息系统风险管理的目标是通过建立有效的机制，实现对信息系统风险的识别、计量、评价、预警和控制，推动银行业金融机构业务创新，提高信息化水平，增强核心竞争力和可持续发展能力[1]。因此，必须兼顾业务风险模型和技术风险模型的相关方法，建立一种银行信息系统风险识别模式，用于发现系统自身内部控制机制中存在的薄弱环节和危险因素，发现系统与外界环境交互中不正常和有害的行为，找出系统的弱点和安全威胁的定性分析；必须建立一种银行信息系统风险评价模型，用于在银行信息系统风险各要素之间建立风险评估，计量风险的定量评价方法。