王煒+徐虔

近來，移動支付、互聯(lián)網(wǎng)金融、云計算等創(chuàng)新模式在銀行業(yè)的應(yīng)用方興未艾，信息技術(shù)驅(qū)動業(yè)務(wù)創(chuàng)新越來越成為銀行創(chuàng)新的趨勢，信息技術(shù)已經(jīng)從支持保障角色，轉(zhuǎn)變?yōu)殂y行價值創(chuàng)造的重要組成部分。但與此同時，互聯(lián)網(wǎng)技術(shù)應(yīng)用的快速發(fā)展及互聯(lián)網(wǎng)金融等新興模式的出現(xiàn)，對商業(yè)銀行的科技創(chuàng)新機制形成巨大挑戰(zhàn)，銀行轉(zhuǎn)型迫在眉睫。2014年12月舉辦的“中國銀行業(yè)信息科技風險管理2014年會暨銀行業(yè)信息科技風險高層指導(dǎo)委員會全體會議”要求，銀行業(yè)要處理好安全與自主、替代與轉(zhuǎn)型、風險與創(chuàng)新的關(guān)系，做好頂層設(shè)計，實現(xiàn)“從封閉向開放、從粗放向精細、從失衡向平衡”三個轉(zhuǎn)變，提升信息科技治理能力。

力推自主可控

銀行業(yè)自2012年提出“自主可控、持續(xù)發(fā)展、科技創(chuàng)新”三大戰(zhàn)略以來，力推科技創(chuàng)新，助推發(fā)展轉(zhuǎn)型。

制定整體發(fā)展戰(zhàn)略。2014年，銀監(jiān)會對銀行業(yè)關(guān)鍵信息和網(wǎng)絡(luò)基礎(chǔ)設(shè)施開展了安全評估，并向國務(wù)院報送專題報告。報告深入分析銀行業(yè)自主可控信息技術(shù)的應(yīng)用現(xiàn)狀和存在的問題，提出了銀行業(yè)應(yīng)用自主可控信息技術(shù)推進網(wǎng)絡(luò)和信息安全的總體工作思路和措施。

加強政策引導(dǎo)。《關(guān)于應(yīng)用安全可控信息技術(shù)加強銀行業(yè)網(wǎng)絡(luò)安全與信息化建設(shè)的指導(dǎo)意見》（銀監(jiān)發(fā)[2014]39號），作為促進國產(chǎn)信息技術(shù)落地銀行業(yè)的中長期政策和規(guī)劃，提出2019年銀行業(yè)應(yīng)用安全可控信息技術(shù)總體比率達到75%的目標。同時，正在研究制定具體的推進指南，進一步細化工作目標和工作要求。

推進“自主可控”戰(zhàn)略應(yīng)用落地。組織銀行業(yè)金融機構(gòu)、信息技術(shù)企業(yè)和高校等成立銀行業(yè)應(yīng)用安全可控信息技術(shù)創(chuàng)新戰(zhàn)略聯(lián)盟，圍繞國產(chǎn)信息技術(shù)應(yīng)用落地的關(guān)鍵問題，開展技術(shù)合作，實施技術(shù)轉(zhuǎn)移，加速科技成果運用。依托戰(zhàn)略聯(lián)盟，組建技術(shù)實驗室，針對推進過程中遇到的問題和困難，集中人力、物力開展專題攻關(guān)，解決共性問題，提供解決方案，促進技術(shù)創(chuàng)新。逐年制定銀行業(yè)應(yīng)用安全可控信息技術(shù)推進指南，對推進領(lǐng)域、重點信息技術(shù)和產(chǎn)品以及推進方案、評價指標和計算方法予以細化。組織開展銀行業(yè)應(yīng)用安全可控信息技術(shù)應(yīng)用示范項目。通過應(yīng)用示范，為安全可控信息技術(shù)在銀行業(yè)應(yīng)用落地樹立典范，提供成功案例和經(jīng)驗。

構(gòu)建“自主可控”的良好生態(tài)環(huán)境。核心技術(shù)自主可控是實現(xiàn)信息安全的根本保障，銀監(jiān)會制定政策，構(gòu)建銀行業(yè)應(yīng)用安全可控信息技術(shù)的長效機制，建立推進平臺，大力推廣使用能夠滿足銀行業(yè)信息安全需求且技術(shù)風險、外包風險和供應(yīng)鏈風險可控的信息技術(shù);發(fā)揮市場作用，推動銀行業(yè)金融機構(gòu)加快建立高效的創(chuàng)新體系，激發(fā)各類創(chuàng)新主體的積極性，推動信息化創(chuàng)新發(fā)展;在統(tǒng)籌規(guī)劃的基礎(chǔ)上，加強政、產(chǎn)、學(xué)、研的協(xié)同合作，營造安全可控信息技術(shù)研發(fā)、發(fā)展和應(yīng)用的良好生態(tài)環(huán)境。

自主可控建設(shè)的成效

自主可控工作進程加快。銀監(jiān)會大力推動銀行業(yè)信息科技自主可控進程，持續(xù)監(jiān)測、重點推進。根據(jù)監(jiān)測，全可控小型機在銀行關(guān)鍵應(yīng)用系統(tǒng)取得突破，網(wǎng)絡(luò)設(shè)備、PC服務(wù)器占比翻番，網(wǎng)絡(luò)設(shè)備占比超過50%，安全可控的文字處理軟件普及速度加快。更重要的是，部分銀行敢于打破常規(guī)，積極探索使用新的架構(gòu)和解決方案，通過架構(gòu)轉(zhuǎn)型為使用安全可控信息技術(shù)留出空間、鋪平道路。

科技創(chuàng)新步伐加大。2014年，科技創(chuàng)新給銀行帶來新氣象。一是產(chǎn)品創(chuàng)新，銀行機構(gòu)在理財、信用卡、小微企業(yè)信貸業(yè)務(wù)方面推陳出新，新產(chǎn)品層出不窮，創(chuàng)新速度加快;二是服務(wù)創(chuàng)新，銀行機構(gòu)積極布局移動互聯(lián)網(wǎng)渠道，探索線上線下相結(jié)合的金融服務(wù)，支付方式更加多樣化，這些創(chuàng)新拓展了客戶群體，改善了客戶體驗，為業(yè)務(wù)發(fā)展提供了新的增長點;三是風險管理創(chuàng)新，銀行積極探索使用大數(shù)據(jù)等新興技術(shù)，挖掘數(shù)據(jù)潛力，改進客戶評級，優(yōu)化內(nèi)審系統(tǒng)，加強風險監(jiān)控，提升預(yù)警能力，風險管理的及時性、準確性、有效性提升明顯。銀監(jiān)會自主研發(fā)的EAST檢查發(fā)現(xiàn)系統(tǒng)，在建立監(jiān)管數(shù)據(jù)標準的同時，促進了銀行機構(gòu)的數(shù)據(jù)治理工作，體現(xiàn)了創(chuàng)新、監(jiān)管和服務(wù)的綜合效能。

重點風險領(lǐng)域管控力度得到加強。2014年銀監(jiān)會印發(fā)了《關(guān)于進一步加強銀行業(yè)金融機構(gòu)非駐場集中式外包風險管理的通知》（以下簡稱《外包風險管理通知》），從防范系統(tǒng)性、全局性風險角度，對集中承擔信息科技外包的機構(gòu)，提出了強化的風險管理要求，正在研究并即將出臺操作細則;充分發(fā)揮銀行業(yè)信息科技外包聯(lián)合監(jiān)管平臺和外包自律組織作用，開展專項治理和檢查，促進行業(yè)信息科技外包風險管控水平的提升。業(yè)務(wù)連續(xù)性方面，各銀行機構(gòu)業(yè)務(wù)連續(xù)性管理體系建設(shè)初見成效，特別是“真演實練”的覆蓋率和頻率明顯提升。在網(wǎng)銀安全風險防范方面，創(chuàng)新的技術(shù)防護手段和管理措施相互配合，初步形成了立體化的防御體系。

自主可控建設(shè)面臨的挑戰(zhàn)

當前銀行業(yè)信息科技領(lǐng)域面臨的挑戰(zhàn)非常艱巨，在網(wǎng)絡(luò)化的環(huán)境下，核心技術(shù)受制于人、安全威脅加劇等系統(tǒng)性風險將長期存在。在2014年信息科技突發(fā)事件中，存在固有的產(chǎn)品及技術(shù)風險，但不可否認銀行業(yè)網(wǎng)絡(luò)安全和信息化建設(shè)還存在諸多“內(nèi)憂外患”：內(nèi)憂主要表現(xiàn)在信息科技治理機制還不順暢，業(yè)務(wù)與科技“兩張皮”現(xiàn)象依然普遍，信息科技管理“重建設(shè)、輕管理，重開發(fā)、輕運維”不平衡的問題依然沒有根本改觀。外患主要表現(xiàn)在互聯(lián)網(wǎng)技術(shù)應(yīng)用的快速發(fā)展及互聯(lián)網(wǎng)金融等新興模式的出現(xiàn)，對商業(yè)銀行的科技創(chuàng)新機制形成巨大挑戰(zhàn)。下一步如何調(diào)整，如何有效地保障銀行業(yè)網(wǎng)絡(luò)信息安全，提升信息化建設(shè)水平，關(guān)鍵是要處理好三個方面的關(guān)系。

安全與自主的關(guān)系。不能把安全和自主對立起來。盡管很多自主技術(shù)還需要進一步改進和提升，但銀行不能妄自菲薄。只有自主可控，才能真正掌握安全的螺旋上升通道。自主可控就是最大的安全，二者是統(tǒng)一的。銀行業(yè)應(yīng)當鼓勵和參與自主創(chuàng)新，這不僅僅是承擔社會責任，更關(guān)系到銀行業(yè)未來的發(fā)展和轉(zhuǎn)型。對于堅持推動自主可控的銀行，監(jiān)管部門將予以一定的監(jiān)管激勵，不僅在信息科技監(jiān)管評級中加分，還可以適當調(diào)整信息科技風險的監(jiān)管容忍度。

替代與轉(zhuǎn)型的關(guān)系。推進自主可控，要避免簡單替代的誤區(qū)。簡單替代永遠只能是跟隨者。自主可控戰(zhàn)略的實施，給了中國銀行業(yè)一個彎道超車跨越式發(fā)展的契機。銀行要抓住機遇，通過提升科技工作水平，從而帶動業(yè)務(wù)轉(zhuǎn)型。

風險與創(chuàng)新的關(guān)系。無論是傳統(tǒng)金融還是互聯(lián)網(wǎng)金融，都以信息科技作為核心創(chuàng)新手段之一，都以更好的金融服務(wù)作為核心目標。銀行積極支持并鼓勵新技術(shù)、新產(chǎn)品的開發(fā)和運用，但應(yīng)嚴守防范和化解風險的底線。在創(chuàng)新的同時，防范風險的管理機制應(yīng)同步推進，董事會、監(jiān)事會、高管層及相關(guān)工作人員認真履職，風險管理、內(nèi)部審計兩道防線要真正起到實效，制度、規(guī)范要更新完善，創(chuàng)新不能無序，亡羊補牢的做法在新的環(huán)境之下不可取。

外包風險管理

銀行業(yè)與現(xiàn)代信息科技的融合程度不斷加深，受制于銀行自身技術(shù)能力、成本、效率等因素，信息科技外包成為銀行業(yè)信息化建設(shè)的重要模式，外包依賴度和集中度較高，特別是中小銀行機構(gòu)因技術(shù)積累薄弱、人員和能力有限，基于成本和周期等因素考慮，普遍選擇非駐場外包模式。隨著銀行業(yè)信息科技外包業(yè)務(wù)發(fā)展，非駐場外包規(guī)模持續(xù)增加，外包系統(tǒng)性風險不斷增大。

與其他外包模式不同，非駐場式集中式外包主要依賴于外包服務(wù)商的一體化的打包服務(wù)，具有內(nèi)容集成度高、資源共享程度高、服務(wù)商獨立性強以及服務(wù)機構(gòu)性質(zhì)多樣等特點。

風險高度集中

在非駐場集中式外包模式中，銀行業(yè)主要信息科技活動都交由外包服務(wù)商承擔，銀行無需自行建設(shè)和維護系統(tǒng)，內(nèi)容集成度高。內(nèi)容的高度集成必然導(dǎo)致風險的高度集中。同時，一家外包服務(wù)商往往為多家銀行業(yè)金融機構(gòu)提供服務(wù)。隨著虛擬化技術(shù)和云計算的發(fā)展，這些高集中度風險的影響面將更大，傳導(dǎo)的速度也將更快，也更容易演化成系統(tǒng)性、全局性的風險。近年來已經(jīng)發(fā)生多起具有集中度風險特點的信息科技事件，引起業(yè)內(nèi)的廣泛關(guān)注。

監(jiān)管檢查空白

雖然國外監(jiān)管機構(gòu)對于類似非駐場集中式外包模式的信息科技風險監(jiān)管已經(jīng)相當普及，但在國內(nèi)，目前監(jiān)管部門僅在銀行業(yè)金融機構(gòu)出現(xiàn)相關(guān)問題或者風險事件時，才進行相關(guān)檢查。這種被動的事后行為直接導(dǎo)致系統(tǒng)性防控措施無法到位，系統(tǒng)性、全局性風險發(fā)生的幾率大增。

風險控制薄弱

信息科技非駐場集中式外包服務(wù)機構(gòu)分為銀行類機構(gòu)和社會類機構(gòu)兩種。對于銀行類機構(gòu)來說，其自設(shè)立之初就受到銀監(jiān)會的監(jiān)管，其風險管控依從的是銀行業(yè)的相關(guān)法律法規(guī)。而很多社會類機構(gòu)的本質(zhì)是IT類企業(yè)，因此無法受到銀監(jiān)會的直接監(jiān)管，其風險管控往往達不到金融級的監(jiān)管要求。同時，大量中小銀行依賴于此類機構(gòu)提供外包服務(wù)，涉及面更廣，對銀行業(yè)信息安全的影響也較大。

守住不發(fā)生系統(tǒng)性、全局性風險的底線，保持信息系統(tǒng)穩(wěn)定運行，是非駐場集中式外包風險管控的重點工作之一。為此，針對非駐場集中式外包服務(wù)存在的突出問題，《外包風險管理通知》從防范系統(tǒng)性、全局性風險的角度，對集中承擔銀行信息科技活動的外包服務(wù)機構(gòu)，提出了強化風險管理的要求。一方面，督促銀行業(yè)金融機構(gòu)健全外包管理機制，加強過程控制和對外包服務(wù)機構(gòu)的風險約束，完善外包應(yīng)急預(yù)案，保障在突發(fā)事件情況下的運營秩序;另一方面，推動外包服務(wù)機構(gòu)強化風險責任意識，積極采取技術(shù)和管理規(guī)范化措施，提高安全服務(wù)水平。

此外，銀監(jiān)會創(chuàng)新工作機制，提出了外包服務(wù)機構(gòu)主動申請評估的監(jiān)管思路，按照自愿原則，將外包服務(wù)機構(gòu)納入監(jiān)管部門的風險監(jiān)管評估范疇，開展常態(tài)化風險分析、現(xiàn)場評估和風險處置工作，制訂對外包服務(wù)機構(gòu)開展風險監(jiān)管評估工作的具體實施細則，加強外包系統(tǒng)性風險防范;充分發(fā)揮銀行業(yè)信息科技外包聯(lián)合監(jiān)管平臺和外包自律組織的作用，通過外包服務(wù)機構(gòu)的自我約束和自我完善，推動銀行業(yè)信息科技外包服務(wù)市場規(guī)范化和行業(yè)自律，加強正面引導(dǎo)，促進發(fā)展和交流，共同防范風險。2014年，銀監(jiān)會還開展了銀行業(yè)信息科技非駐場集中式外包專項治理工作，要求銀行業(yè)金融機構(gòu)全面自查整改，摸清風險底數(shù)，推動整體外包風險防范和外包管理水平的提升。

銀行業(yè)信息技術(shù)發(fā)展戰(zhàn)略

隨著互聯(lián)網(wǎng)日益成為創(chuàng)新驅(qū)動發(fā)展的力量，銀行業(yè)經(jīng)營發(fā)展的外部環(huán)境正在發(fā)生著深刻變化，虛擬社會與現(xiàn)實社會相互融合，互聯(lián)網(wǎng)與經(jīng)濟相互融合，這其中有碰撞，也有火花，有挑戰(zhàn)，但機遇更大。能否抓住機遇，推動銀行業(yè)在信息技術(shù)引領(lǐng)的變革中順利轉(zhuǎn)型，銀行業(yè)要切實做好頂層設(shè)計，加強戰(zhàn)略謀劃，實現(xiàn)一個提升和三個轉(zhuǎn)變。

提升信息科技治理能力現(xiàn)代化水平。信息科技與社會經(jīng)濟融合是大勢所趨，但是真正做到相互融合，協(xié)調(diào)發(fā)展，還需要從治理層面下功夫。首先，認清規(guī)律。雖然都在銀行體系內(nèi)，但銀行的金融業(yè)務(wù)和科技活動其實是兩個行當，有不同的規(guī)律，認識、掌握并尊重彼此的規(guī)律，業(yè)務(wù)和科技才能更好地協(xié)作。董事會、高管層應(yīng)起示范作用，重點是敦促業(yè)務(wù)部門加強對科技活動規(guī)律的認識和理解。其次，注重建立開放彈性的企業(yè)架構(gòu)、加強業(yè)務(wù)和科技的融合、保障合理的人財物投入，形成合力提升信息科技治理能力。第三，落實首席信息官制度，首席信息官要參與決策，在決策層面為業(yè)務(wù)和科技的融合架起橋梁。董事會中也應(yīng)盡可能安排了解信息科技的董事。第四，加大復(fù)合型人才的培養(yǎng)力度，加強業(yè)務(wù)人員和科技人員的交流，形成順暢的溝通和協(xié)作機制。銀行機構(gòu)應(yīng)善于認識和遵循規(guī)律，抓住時機，順勢而為，從根本上解決銀行業(yè)務(wù)和科技“兩張皮”的問題，推動業(yè)務(wù)和科技的真正融合。

從封閉向開放轉(zhuǎn)變。當前的技術(shù)環(huán)境已經(jīng)發(fā)生了深刻變化，信息化建設(shè)的思路和心態(tài)也應(yīng)隨之轉(zhuǎn)變。開放是實現(xiàn)自主可控的關(guān)鍵道路，銀行機構(gòu)應(yīng)積極運用新技術(shù)，以開放、彈性、安全、高效為目標，規(guī)劃和設(shè)計新的解決方案。努力打造信息科技核心競爭力，培養(yǎng)人才，避免固步自封和生搬硬套，切實做到自主掌握核心知識和關(guān)鍵技術(shù)。以開放共贏為合作原則，既要把握話語權(quán)和主動權(quán)，也要實現(xiàn)優(yōu)勢互補、合作共贏。

從粗放向精細轉(zhuǎn)變。把握信息科技工作的規(guī)律是實現(xiàn)銀行業(yè)科技轉(zhuǎn)型的關(guān)鍵。細節(jié)決定成敗，應(yīng)重點關(guān)注四個體系建設(shè)的精細化：業(yè)務(wù)連續(xù)性管理體系，重點解決片面依賴科技的問題，提升業(yè)務(wù)參與度。信息系統(tǒng)開發(fā)體系，抓好研發(fā)過程中的風險和質(zhì)量管控，解決系統(tǒng)先天不足問題。運維管理體系，重點抓好投產(chǎn)變更的風險控制，提升運維的透明度和自動化水平，不留死角。信息安全管理體系，從單一的安全管理過渡到基于風險的立體防范體系，重點加強風險感和響應(yīng)的動態(tài)性。

從失衡向平衡轉(zhuǎn)變。銀行業(yè)信息化建設(shè)中不平衡、不協(xié)調(diào)的矛盾還很多，“兩重兩輕”問題依然普遍，要實現(xiàn)平衡發(fā)展，首先加強科技工作的整體規(guī)劃，從戰(zhàn)略、管理、技術(shù)等各方面努力消除不平衡現(xiàn)象，建立規(guī)劃與日常工作的聯(lián)動機制，增強規(guī)劃的指導(dǎo)性、實用性，千萬別拿規(guī)劃當擺設(shè);其次，建立科學(xué)的績效考評和分配機制，切實考慮科技和業(yè)務(wù)發(fā)展的匹配度，實現(xiàn)業(yè)務(wù)與信息科技的聯(lián)動考核;最后，要遵循科技活動的內(nèi)在規(guī)律，建立多層次，立體化的信息科技管理體系，提升信息科技工作的內(nèi)在發(fā)展質(zhì)量。

當前的銀行業(yè)信息化工作，機遇和挑戰(zhàn)并存，挑戰(zhàn)固然不小，但機遇更為可貴，銀行如果能夠把握好、運用好信息科技變革浪潮的機遇，形成競爭優(yōu)勢，將提升銀行業(yè)信息科技治理能力現(xiàn)代化水平，夯實銀行業(yè)網(wǎng)絡(luò)安全基礎(chǔ)，促進銀行業(yè)信息化水平再上新臺階。