银行业正面临着新的变革,将引发各种新的安全风险,银行业该如何防范?
银行正面临新变革
目前,中国的银行业正面临着新的变化:从业务上来说,除了传统的银行商业活动外,银行新型的业务活动在逐步增加,如代购保险、信托、投资理财、公共事业缴费等;在经营模式方面,除了传统的营业厅方式外,网上银行、手机银行、电话银行等新模式不断出现。这些变化引发了金融行业的两大战略转变:从以账户为中心向以客户、服务、管理为中心进行转变;从单一的经营模式向全球网络化、多元化的混业经营模式转变。这些变革,将给金融信息化带来新的机会和挑战。
首先,银行将全面部署与整合新一代综合业务系统。
银行业未来经营格局将是面向多市场、跨平台、多交易品种,因此新型的综合业务系统将成为金融业的必然选择。数据大集中已经基本完成,接下来必将是应用系统的整合。而新型的综合业务系统将是整合应用系统的核心引擎。新型的综合业务系统将具备以下几个特点:一、安全、稳定、可靠;二、灵活、多变、多功能,要快速支持金融行业快速的产品创新和差异化服务;三、以客户为中心。
其次,更加强调数据的合理与有效利用
现在很多商业银行已经实现数据的物理或逻辑集中,在数据大集中的基础上进一步有效利用数据将成为银行下一步信息化建设的重点。如使用数据仓库、数据挖掘、商业智能、决策支持等技术,基于基础客户信息数据,通过信息挖掘、提炼,对银行的业务流程、产品等进行改进,从而为银行提供全方位的管理视角,全面提高和改善银行经营质量和服务水平。目前国内已经有多家银行尝试应用CRM系统,用于理财、贷款、信用卡、中间业务等服务。
通过数据仓库、商业智能等工具把原始信息变成有价值的信息。基于数据仓库的决策支持系统(DSS)能够帮助银行实现对客户的正确识别和经营风险的自动预警。通过数据挖掘技术,能够有效地控制关联企业的信贷风险,建立以客户管理为中心的信贷决策体系和成本控制体系,保证商业银行信贷资金的有效配置和信用风险的有效控制,从而体现商业智能和自动化处理的价值。
第三,更加注重数据安全与业务连续性风险
随着信息技术在银行普遍、深入的应用,信息系统的正常运行已经成为银行业务正常运营最基本的条件之一。意外灾祸、系统故障、人为操作不当、安全管理及措施的漏洞等都有可能造成信息系统不能正常工作,影响到银行业务的正常运营。信息安全越来越成为银行信息化建设与管理中需要密切关注的问题。
第四, 银行间数据将互联互通
各个商业银行间数据的互联互通不仅是客户的基本需求,也是国家经济发展的需求,同时也有利于银行间数据的共享、扩展各自业务的覆盖范围。着眼于此,数据标准化、集成化将是一段时期内需要重点关注与发展的领域。
第五, 前台业务处理系统与后台支持系统进行数据整合
完善的前台业务处理系统与强大的后台支持管理系统是商业银行的两大基础系统,系统间的数据整合将是发展的必然趋势。完善的前台处理系统是银行运作、经营的基本系统,强大的财务、人力资源管理、利润分析、风险控制、绩效评估和战略决策等支持系统是银行正常运作和良性发展的支撑。通过一定的方式和手段,对两大基础系统间的数据进行整合有利于业务经营与发展目标的实现。
对安全提出新挑战
金融行业的这些变革趋势,对安全提出了更多新的挑战。
首先,银行业风险管控的要求本身就很高。新巴塞尔协议对银行的风险管控提出了新的要求,新协议由三大支柱组成:一是最低资本要求;二是监管当局对资本充足率的监督检查要求;三是信息披露要求。在银行信息化过程中,银行必须将自身的业务、技术需求与新协议中的要求结合起来,做到风险与收益、控制与效能的平衡。
其次,对数据的保密性、完整性、有效性提出更高的要求。银行数据的大集中,对数据的保密性、完整性、有效性提出了更高的要求。数据集中的同时也伴随着风险的集中,如何准确地在效率与安全之间选择平衡点将是一个需要解决的问题。
第三, 个人数据的隐私保护成为一个关注点。支付卡行业数据安全标准委员会已经制定和发布了支付卡行业数据安全标准(PCI-DSS),对涉及支付卡的数据安全提出明确要求,作为该类数据的收集、存储和使用机构,银行需要在信息化中遵守相关的标准,以对个人数据的隐私性加以保护。
第四, 银行业务的可靠性和可持续性成为银行信息化中的重要目标。由于银行经营活动的特征,决定了银行业务与数据必须具有高可靠性和高可持续性的特征,而这些特征在银行业信息化中将得到具体体现,如对系统、数据的高可靠性指标的要求,业务持续性管理的要求等。
实施六大措施对风险进行管理
如何应对这些挑战,是金融行业在变革中需要面对的难题。建议可通过实施以下六种风险管控措施,多管齐下地防范金融风险。
首先,进行业务流程的改进,通过梳理和优化业务流程, 有效提高业务系统的效率、效果,有效控制风险发生的可能性。
其次,进行资产负债管理(ALM),有效控制并预防流动性风险,降低因资产负债不匹配而导致的额外成本,并为经营决策提供支持,增强银行盈利能力。
第三,应用系统风险评估与控制咨询,实施业务系统风险与控制的评估、设计、审计服务,可以有效降低业务流程风险,避免人为控制出现的偏差与失误。
第四,对信息安全与业务持续性进行有效管理,由于综合业务系统的特殊性,需要对大量受保护的业务、经营数据和个人隐私数据进行风险评估,进而实现其保密性、完整性和有效性。为保持银行业务的连续性,需实施业务持续性管理,其中包括业务影响性分析、风险评估、确定业务持续性战略、制定业务持续性计划、实施业务持续性管理、测试与审计持续性服务等。
第五,实施企业信息管理服务(EIM),通过合理设计、适当选择数据管理的方式,让银行优化业务系统平台。并通过使用数据分析与挖掘技术,实施高质量的数据管理。
第六,进行商业欺诈、反舞弊调查,可通过财务调查,发现、识别、评估并处理商业欺诈、舞弊行为,防止和挽回损失。
为了在中国市场继续保持高速增长,赛门铁克公司最近对渠道体系进行了重大改革,并加强了对渠道商的合作。