金融信息管理(6篇)
金融信息管理篇1
论文关键词:信息系统;安全管理;体系
现代金融业是基于信息、高度计算化、分散、相互依存的产业,有人形象地把信息系统归结为银行业的“核心资本”。金融信息化带来的是银行业务信息系统在网络结构、业务关系、角色关系等方面的复杂化。而越是复杂的系统,其安全风险就越高。在系统中每增加一种访问的方式就增加了一些入侵的机会;每增加一些访问的人群就引入了一些可能受到恶意破坏的风险。据2003年一项对全球前500家金融机构的安全调查(2003GlobaleScuritySurvey,DeloitteToucheTohmat—su),39%受调查的机构承认2002年曾受到一定形式的系统攻击;美国联邦法院2004年所作的一系列有关信息犯罪的案件中,有多件涉及金融机构。这些统计数字和报道出的事件,只是我们面临信息系统安全威胁的冰山一角,因此加速建设金融信息系统中的安全保障体系变得更加紧迫。
长期以来,人们对保障信息系统安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、漏洞扫描、身份认证等等。但事实上,仅仅依靠安全技术和安全产品保障信息系统安全的愿望却往往难尽人意,许多复杂、多变的安全威胁和隐患靠安全产品是无法消除的。据有关部门统计,在所有的计算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。简单归类,属于管理方面的原因比重高达6O%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来避免。因此,加强安全管理已成为提高信息系统安全保障能力的可靠保证,是金融信息系统安全体系建设的重点。
1安全管理体系构建
信息安全源于有效的管理,使技术发挥最佳效果的基础是要有一定的信息安全管理体系,只有在建立防范的基础上,加强预警、监控和安全反击,才能使信息系统的安全维持在一个较高的水平之上。因此,安全管理体系的建设是确保信息系统安全的重要基础,是金融信息系统安全保障体系建设最为重要的一环。为在金融信息系统中建立全新的安全管理机制,最可行的做法是技术与管理并重,安全管理法规、措施和制度与整体安全解决方案相结合,并辅之以相应的安全管理工具,构建科学、合理的安全管理体系。
金融信息系统安全管理体系是在金融信息系统安全保障整体解决方案基础上构建的,它包括信息安全法规、措施和制度,安全管理平台及信息安全培训和安全队伍建设,其示意图如图1所示。
2安全管理平台
安全管理平台是通过采用技术手段实施金融信息系统安全管理的平台,它包括安全预警管理、安全监控管理、安全防护与响应管理和安全反击管理。
2.1安全预警管理
安全预警管理的功能由预警系统实现,通过该系统,可以在安全风险动态威胁和影响金融信息系统前,事先传送相关的警示,让管理员采取主动式的步骤,在安全风险影响运作前加以拦阻,从而预防全网业务中断、效能损失或对其公众信誉造成危害,达到提前保护自己的作用。安全预警系统通过追踪最新的攻击技术,分析威胁信息以辨识出真正潜在的攻击,迅速响应并提供定制化威胁分析及个性化的漏洞和恶意代码告警服务,帮助降低风险,防患于未然。
2.2安全监控管理
通过安全监控功能可以实时监控金融信息系统的安全态势、发生了哪些攻击、出现了什么异常、系统存在什么漏洞以及产生了哪些危险日志等,因此安全监控功能对于金融信息系统的安全保障体系来说是至关重要的。
1)基于实时性的安全监控。通过在线方式管理金融信息系统中的资源状态和实时安全事件,及时关注IT资源和安全风险的现状和趋势,通过实时监控来提高系统的安全性和IT资源的效能。
2)基于智能化的安全监控。利用智能信息处理技术对信息网络中的各种安全事件进行智能处理,实现报警信息的精炼化,提高报警信息的可用信息量,降低安全设备的虚警和误警,从而有效地提高安全保障系统中报警信息的可信度。
3)基于可视化的安全监控。通过对安全事件分析过程与分析报告的可视化手段,如图表/曲线/数据表/关联关系图等,提供详细的入侵攻击信息乃至重现攻击场景,实现对入侵攻击行为的追踪,使得对安全事件的分析更为直观,从而有效提高安全管理人员对于入侵攻击的监控理解,使安全系统的管理更为有效。
4)基于分布式的安全监控。通过系统分布式的多级部署方式,可以实现对金融信息系统内各个子系统的监控和综合分析能力,同时对不同安全保护等级的用户提供相应的监控界面和信息,从而严格满足其安全等级划分的用户级要求。
2.3安全防护与响应管理
在金融信息系统的安全系统中由于安全的异构属性,因此会采用不同的安全技术和不同厂家的安全产品来实现安全防护的目的。通过安全防护与响应管理可以及时响应和优化整个系统安全防护策略;最直接的响应就是提供多种方式,如报警灯、窗日、邮件、手机短信等向安全管理员报警,然后日志保存在本地数据库或者异地数据库中。
1)优化安全策略分析。通过实时掌握自身的安全态势,及各种安全设备、网络设备、安全系统和业务系统的处理情况,输出正常和非法个性化的安全策略报表,然后直接通知相应的安全管理人员或厂商对其自身策略进行优化调整。
2)动态响应策略调整。通过对各种安全响应协议的支持,如SNMP、TOPSEC、联动协议等,实现相关的安全防护技术策略的自动交互,同时通过专家知识库能从全局的角度去响应安全事件很好地解决安全误报问题。
3)安全服务自动协调。当智能分析和安全定位功能确认出安全事件或安全故障时,及时调派安全服务人员小组(或提供安全服务的供应商)进行相应的安全加固防护。
2.4安全反击管理
安全反击管理包括安全事件的取证管理和安全事件的追踪反击。
1)安全事件的取证管理。取证在网络与信息系统安全事件的调查中是非常有用的工具,通过对系统安全事件的存储和分析,实现对安全事件的取证管理,给相关调查人员提供安全事件的直接取证。
2)安全事件的追踪反击。通过资源状态分析、关联分析、专家系统分析等有效手段,检测到攻击类型,并定位攻击源。随后,系统自动对目标进行扫描,并将扫描结果告知安全管理员,并提示安全管理员查询知识库,从中提取有效手段对攻击源进行反击控制。
3安全管理措施建议
在安全管
理技术手段的基础上,还要提高安全管理水平。俗话说“三分技术,七分管理”,由于金融信息系统相对比较封闭,对于金融信息系统安全来说,业务逻辑和操作规范的严密程度是关键。因此,加强金融信息系统的内部安全管理措施,建立领导组织体系,完善落实内控制度,强化日常操作管理,是提升安全管理水平的根本。
1)完善安全管理机构的建设。目前,我国已经把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度,并提出了“积极防御、综合防范”的信息安全管理方针,专门成立了网络与信息安全领导小组、国家计算机网络应急技术处理协调中心(简称CNCERT/CC)、中国信息安全产品测评认证中心(简称CNITSEC)等,初步建成了国家信息安全组织保障体系。为确保金融信息系统的安全,在金融信息系统内部应组建安全管理小组(或委员会),安全管理小组制定出符合企业需要的信息安全管理策略,具体包括安全管理人员的义务和职责、安全配置管理策略、系统连接安全策略、传输安全策略、审计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物理安全策略、系统安全评估体系等内容。安全管理应尽量把各种安全策略要求文档化和规范化,以保证安全管理工作具有明确的依据或参照。
2)在保证信息系统设备的运行稳定可靠和信息系统运行操作的安全可靠的前提下,增加安全机制,如进行安全域划分,进行有针对性的安全设备部署和安全策略设置,以改进对重要区域的分割防护;增加入侵检测系统、漏洞扫描、违规外联等安全管理工具,进行定时监控、事件管理和鉴定分析,以提高自身的动态防御能力;完善已有的防病毒系统、增加内部信息系统的审计平台,以便形成对内部安全状况的长期跟踪和防护能力。
3)制定一系列必须的信息系统安全管理的法律法规及安全管理标准,狠抓内网的用户管理、行为管理、应用管理、内容控制以及存储管理;进一步完善互联网应急响应管理措施,对关键设施或系统制定好应急预案,并定期更新和测试,全面提高预案制定水平和处理能力;建立一支“信息安全部队”,专门负责信息网络方面安全保障、安全监管、安全应急和安全威慑方面的工作。
4)坚持“防内为主,内外兼防”的方针,加强登录身份认证,严格限制登录者的操作权限,充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息进行跟踪记录,为系统审计提供依据。
5)重视和加强信息安全等级保护工作,对金融信息系统中的信息实施一般保护、指导保护、监督保护和强制保护策略,尤其对重要信息实施强制保护和强制性认证,以确保金融业务信息的安全。
6)加强信息安全管理人才与安全队伍建设,特别是加大既懂技术又懂管理的复合型人才的培养力度。通过各种会议、网站、广播、电视、报纸等媒体加大信息安全普法和守法宣传力度,提高全民信息安全意识,尤其是加强企业内部人员的信息安全知识培训与教育,提高员工的信息安全自律水平。
金融信息管理篇2
[关键词]互联网金融企业;信息系统;内部控制
[DOI]10.13939/ki.zgsc.2016.01.107
1互联网金融的概念
互联网金融企业是指依托于云计算、支付、社交网络以及搜索引擎等互联网工具,实现资金融通、支付和信息中介等业务的新兴金融企业。互联网金融不单单是互联网与金融的结合,而是有效打破了传统金融在地域、时间的限制,以有效解决了信息不对称的问题,使资源配置更加快捷、合理、透明。
互联网金融具有效率高、成本低、发展快、覆盖广、管理弱、风险大的特点,因此互联网金融在看到它的优势的同时,还要更注意其内在的风险,以及对其进行实时监管。
2信息系统内部控制的相关基础理论
2.1信息理论
美国数学家ClaudeE.Shannon最早提出信息是人类社会组织、社会实践和管理科学所不可缺少的重要工具,该理论是研究信息管理系统最直接最早期的基础理论。信息论从性质可以分为狭义信息论和广义信息论。狭义信息论只单单研究信息度量、容量和编码理论等;而广义信息论是在狭义信息理论的基础上对各个领域的应用和推广,又称之为信息科学。
信息是动态的,正因为信息的流动才使信息系统有了实在的意义。互联网金融企业信息内部控制系统也正因为有了各种各样的金融信息,才能最大限度地获取对互联网金融企业有价值的信息。当然,由于信息量的庞大,从而使信息系统的控制难度加大。
2.2系统理论
美籍奥地利生物学家L.V.Bertalanffy作为系统理论的创始人,对其定义为“为实现某一具体目标使一些相互作用、相互联系的若干要素组成一个具有一定功能的有机整体”。此外,系统理论通常被理解为:从系统的角度通过一定的方法把研究对象作为一个有机整体加以研究,从而定量的解释复杂系统的局部与局部、整体和局部、整体和整体之间普遍运动规律的科学。
系统理论强调局部与局部、整体和局部、整体和整体的相互影响、相互制约和相互依赖的关系。所以,系统理论具有整体性、动态性、目的性和相关性的特征。
3互联网金融内部控制现状分析
在我国,互联网金融企业多为中小型企业,然而这些中小型企业的内部控制建设相对薄弱,具体表现在:“人治”色彩过于浓厚、内部控制手段单一、内部控制制度缺乏。而对于大型的互联网金融企业,虽然根据相应的要求建立了完善的内部控制体系,但在控制效果上依然不理想,存在许多问题。
3.1企业缺乏完善的治理控制
公司治理主要表现为一种制衡关系。公司治理结构一般由董事会、监事会和管理层构成。公司股东将自己的资产交由董事会进行托管,董事会代表公司股东的利益并拥有对管理层的决策权;监事会对公司董事会的各项决策行使监督的权力;管理层受雇于董事会行使执行权,对企业依法进行经营管理。由这三者构成权力制衡关系,直接影响着企业各个职能的管理,更是企业内部控制的关键因素。然而,我国一些互联网金融企业则体现为董事会职能欠缺、缺少对经营者的有效激励和约束措施、监事会的职能失效。
3.2缺乏有效的人力资源控制
21世纪,企业的竞争实际上是人才的竞争,因此人力资源是内部控制的重要因素,人力资源的相关政策和执行直接影响着内部控制的成效。我国互联网金融企业的人力资源控制方面存在着以下几个问题:
①在选才上,一般对人才学历要求较高,从而造成了人力资本过高,同质性较强,然而高级研发人才又相对缺乏。②人才的专业分工不合理。③员工聘用流程不规范,很少招聘外部人员,偶尔招聘也属于内部招聘,导致组织和人才的供应上得不到保障。④企业的学习和培训力度不够,即使有专业金融人员,如果不进行与时俱进的学习,以往的优势也会变成劣势。⑤人才流失严重。
3.3企业的内部审计不够重视
在企业的内部控制系统中,企业内部审计是一项非常重要而艰巨的工作,它以组织内部一种独立的评价和监督体系而存在。
内部审计既是内部控制的一部分,又是对内部控制再控制的重要角色。内部审计通过规范化和系统化的方法对企业风险管理、控制和治理过程进行有效的评价和改进,从而达到帮助互联网金融企业实现目标的目的。然而在我国互联网金融内审部门权利薄弱,形同虚设,领导层不重视等情况比较严重。
3.4互联网金融企业的风险管理意识薄弱
首先,企业各阶层员工不清楚互联网企业风险管理的含义,风险管理理念没有深入每个员工的心中。其次,互联网金融企业高层管理人员也没有对全面风险管理有一个全面的了解,只停留在理论方面或者一知半解。最后,互联网金融企业执行风险管理的行动力差。
3.5互联网金融企业的权责分配不合理
互联网金融企业的权责分配不合理,信息系统内部控制管理人员,也是业务处理的人员。临时授权现象常见,没有根据各员工所在职位来分析授权范围,不能形成系统合理的授权机制。互联网金融企业权力责任分配机制差距较大,并且各部门协调性差,统一来进行规划设计相关制度比较困难。
3.6企业文化建设不完善
互联网金融企业的企业文化建设不完善,具体表现在:经营理念和使命没有具体说明;企业员工对其经营理念和使命也没有用心的了解,服务方式和态度往往不健全;公司高层领导人没有具体诠释企业的使命和经营理念,导致各经理层经营决策难以按照既定的战略方向发展。
4互联网金融企业信息系统内部控制的完善
4.1完善互联网金融的治理结构
内部控制作为一项公司治理机制,互联网企业董事会应当确保公司具有有效且可靠的内部控制体系,以保护公司股东的投资及公司的资产保值。内部控制要实现减少股东与经理层之间的利益冲突,保证公司透明度,并保证董事会对股东受托责任的目标。而公司治理结构与内部控制存在着一种互动关系。公司治理结构的合理是为保证企业治理效率而在股东、管理者之间设置的制度,以期用最少的成本达到最佳的治理效率。
4.2完善公司信息系统内部控制体系
公司以合法性、成本效益、牵制性和协调性为原则,合理地建设公司信息系统内部控制体系。公司可根据“以人为本,以管理为基础,以效益为中心,以市场为导向,以创新为支撑”的理念,在信息系统信息化、网络化的基础上,建立以依法控制为核心、与企业外部环境相适应的计划控制机制;建立以科学化、精确化、深入化为核心的内部风险控制机制;建立以提高经营效率为目的的现代管理控制机制;建立以服务于企业利益相关者为目的的现代服务机制;建立以知识型、创新型为特点的人才培养和队伍建设机制,开创企业会计信息系统内部控制工作新局面。
4.3完善互联网信息技术的建设
(1)开发具有高科技自主知识产权的技术。目前国内的互联网金融体系中,大多采用国外的软硬件系统,缺少自主研发的高科技金融设备。因此要加强研发出具有自主知识产权的新技术,比如数据加密技术、数字签名技术和密钥管理技术。提高硬件设施的安全防御能力,比如防火墙技术,降低因使用国外技术可能引发的系统不稳定和信息泄露风险,保护国家金融安全。
(2)增加在软硬件设施的投入水平。在硬件方面,增加对计算机物理设备安全性的投入,加大对计算机系统的防病毒和防攻击能力的研发,保证互联网金融业务正常开展有安全的硬件环境。在软件方面,加大访问互联网金融网站时的安全性,登录方式采用验证身份和分级授权方式,限制用非法登录的方式盗取信息。
5结论
尽管互联网金融企业存在许多风险,但是互联网金融企业的健康有效发展对我国经济和金融行业的发展具有促进作用。因此,加强互联网金融企业的信息系统内部控制工作是非常有必要的。
参考文献:
[1]杜美杰.信息系统与会计内部控制[M].北京:清华大学出版社,2004.
[2]杨雄胜.内部控制理论研究新视野[J].会计研究,2005(7).
[3]陈伟.COBIT信息系统治理流程浅析[J].财会通讯,2010(11).
[4]刘英,罗明雄.互联网金融模式及风险监管思考[J].中国市场,2013(3):29-36.
[5]张宜霞,舒惠好.内部控制国际比较研究[M].北京:中国财政经济出版社,2006.
[6]范春.关于互联网金融与小微企业融资模式创新的研究[J].中国市场,2015(44).
[7]王丽.互联网金融与小微企业融资模式创新研究[J].中国市场,2015(44).
[8]刘金燕.基于互联网金融的中小企业融资模式探讨[J].中国市场,2014(43).
[9]万君,易欣.浅析互联网金融对传统银行业的影响――以余额宝为例[J].中国市场,2014(44).
[10]华森森.互联网金融现状、问题与发展趋势探析[J].中国市场,2015(8).
[11]张超,李梅,丁妥.互联网金融背景下金融教育改革探析[J].中国市场,2015(12).
金融信息管理篇3
关键词:信息化;农村金融机构;人力资源管理;影响
一、信息化对农村金融机构人力资源管理的重要影响
1.为提高金融机构绩效管理能力创造了良好的条件
在所有影响机构经营效益的可控因素中,毫无疑问建设一支高质量的员工队伍是最重要的[2]。事实上,问题不在于机构的管理层有没有意识到人力资源管理的重要性,而在于员工绩效管理方面缺乏科学的测量工具,未能让各个层级的员工承担起员工队伍的重大责任,人力资本的作用没有发挥到最大。通过引进信息化手段,结合机构的实际发展情况与现状,建立层层分解的绩效模型,将员工工作与机构盈利指数相挂钩,从而实现员工利益与机构利益的有机结合。再通过一系列现代化的人力资源信息化产品,将机构的经营战略部署通过该产品的绩效管理模块逐一分解到每位员工,从整体上提高机构绩效管理能力。
2.为提高金融机构人才管理能力拓宽了新的途径
信息化时代背景下,金融机构间的竞争凭的是满足用户多样化需求的创新性金融产品及优质的服务,归根到底就是高素质专业人才的竞争。借助信息化手段在人力资源的发现、培养、潜力开发以及应用等方面全方位占领人才的制高点,从而促进机构服务品质的不断提升,加快新产品的研发速度,提高金融机构的核心竞争力。从人才聘用的角度分析,建立人力资源信息化招聘管理模块,从广大应聘者中甄别符合岗位需求的优质人才,这对于提高农村金融机构的人才质量具有重要意义;从留住人才的角度分析,人们从业的基本目标是实现个人利益,而通过人力资源信息化管理产品,将岗位管理、绩效管理与个人发展科学的整合到一起,这对于农村金融机构留住优质人才亦具有重要意义。
3.有利于提高人力资本投资回报率
基于人力资源的重要性,近年来,金融机构在人员的开发、培训、管理等环节的投入成本,在机构总成本当中的占比越来越大,人力资本的投资回报率逐渐被管理层所重视[3]。结合国内外整体的金融机构发展现状来看,通过应用信息化手段,有效改善了机构的运作与经营效率,人力资本投资回报率显著提高。主要表现就包括金融机构的岗位管理、人才管理、绩效管理能力均有所提高。
二、农村金融机构人力资源管理现状
1.员工结构不合理
受历史因素影响,我国农村金融机构人力资源结构不合理的现象依然十分普遍,复合型高素质专业人才依旧比较匮乏[4]。纵观我国农村金融机构的整体人才建设现状,很多机构中,中老年员工占大多数,而年轻员工却极为缺少,员工结构严重不合理,制约机构的长期发展。部分员工为机构外聘的兼职员工,对金融专业方面的知识知之甚少,只能在窗口或者大厅办理简单的金融业务,无法满足农村金融业的发展需求。
2.薪酬绩效体系不健全
为最大限度的挖掘农村金融工作人员的潜力,提高人员综合素质,金融机构的管理层必须首先建立有效的岗位薪酬管理体系与激励机制,以调动员工的工作积极性。然而,从目前我国农村金融机构的人力资源管理现状来看,大多数机构依然沿用传统的管理方式,按照职务、工龄等来划分岗位级别,先进的人才管理理念未能有效落实,信息化管理手段没有得到充分应用。在很大程度上降低了农村金融机构的人才培养能力及吸纳人才的能力,导致机构工作人员岗位责任意识低下,服务热情不高,影响金融机构的经营效益。
3.长效培训发展机制不完善
金融行业是知识密集型的现代经济服务类行业,对从业人员的专业能力及服务能力均提出了较高的要求。由于农村金融机构长期面临着人才匮乏的问题,对员工的岗位业务要求也有所降低,只要求其掌握基础的岗位业务即可,在人员的继续教育管理方面更是没有引起足够的重视,这种人力资源管理模式下,员工的综合素质势必难以提高,农村金融机构也难以再吸纳并留住年轻的优质人才。
三、提高农村金融机构人力资源信息化管理水平的建议
1.借助信息化手段,优化人员结构
一方面,要借助信息化手段,以岗位管理为核心,通过直线主管与员工多次交互,将机构的经营目标及员工的个人绩效直接挂钩,将分解后的主要绩效目标分解到每位员工的自助系统中,建立员工个人、各阶段的绩效目标[5]。另一方面,要强化过程监督与管理,直线主管需与员工建立起密切沟通的桥梁,对绩效目标的执行情况进行实时追踪,并依据管理层的新的战略发展要求及时做出相应的调整。农村金融机构要想在激烈的金融市场中赢得发展机会,就必须首先树立先进的、现代化的人力资源管理理念,在人员管理及培养方面加大工作力度。同时,要协调各人力资源管理部门及其他部门的关系,加强引进高素质金融人才,打造高质量的员工团队,深入贯彻以人为本的管理理念,营造活跃的工作氛围,调动员工的工作积极性。
2.建立专业培训平台,完善金融机构培训体系
针对农村金融机构在职人员整体素质偏低的现象,金融机构必须引起高度重视,首先,要结合机构的实际发展现状及条件,以大数据网络系统为依托,打破传统管理部门及权限的约束,实现各管理环节的相互融合,优化工作流程,提升管理效率。其次,信息化下的农村金融机构人力资源管理存在鲜明的信息化特征,先进的云数据系统具有传统人力资源管理所不具备的优势。可将内部员工的文化程度、经验水平等信息通过电子数据的形式,存储到机构内部的人力资源信息管理系统中,实现对人力资源的动态化管理;建立员工长期教育培训平台,完善具有法律效应的金融机构培训体系;制定科学的薪酬绩效管理方针,加大对员工培训经费的支持,与当地教育机构达成合作,逐步扩宽培训融资渠道,提升金融业务水平。
3.结合信息化技术,实现内部人力资源的高效管理
借助信息化技术,建立完善的员工薪酬激励体系与长效培训发展机制,从而实现内部人力资源的高效管理。以某市农村中国邮政银行为例,通过合理的利用大数据技术,在人才聘用环节对应聘者的在校行为及综合表现进行分析,包括专业知识、技能、实习经历等,为人才选择方面提供了更加科学的依据。同时,结合银行自身的经营模式与发展需求,建立了人员能力管理模型,通过信息系统实现对人事信息的集中管理,并定期对各个员工的实际工作能力进行评析,以此作为员工绩效考核的重要衡量指标,提高人力资本投资回报率。
金融信息管理篇4
信息系统的安全性、可靠性和有效性不仅是商业银行赖以生存和发展的重要基础,还关系到整个银行业的安全和国家金融体系的稳定,因此国家金融监管部门对银行信息科技风险管理日益重视,对银行信息科技风险管理提出了明确要求,各商业银行也普遍提髙了对信息科技风险管理的关注程度。
1.加强信息科技风险管理是金融监管部门高度重视的重要问题
中国银监会主席刘明康在信息科技风险管理与评价审计工作会议上指出,根据近几年国际上出现的信息系统故障事件分析,如果银行信息系统中断1小时,将直接影响该行的基本支付业务;中断1天,将对其声誉造成极大伤害;中断2〜3天以上不能恢复,将直接危及银行乃至整个金融系统的稳定。这在一定程度上反映了国家金融监管部门对信息科技风险的深刻认识和日益重视。2008年7月,银监会颁发了《银行业金融机构信息系统安全保障问责方案》,明确各银行的法定代表人为本单位信息系统安全保障的第一责任人,并要求逐级签订信息系统安全保障责任书。同时,中国人民银行、银监会组织全国金融机构开展了奥运信息科技风险全面自查工作,并相继对各主要商业银行进行了现场专项检查;国家审计署也在对6家大型商业银行的2008年度全面审计工作中首次引入了信息科技审计的内容,着重从信息安全的角度出发,站在维护国家金融稳定和国家安全的髙度,分析当前我国银行业信息科技工作面临的主要风险,并提出了有针对性的改进建议。国家有关监管和审计部门推出的这些卓有成效的管理措施,对银行不断改进和完善信息科技风险管理工作具有十分重要的指导意义,充分体现出了我国政府对银行业信息科技风险管理的尚度重视。
2.加强信息科技风险管理是新《巴塞尔资本协议》的基本要求
在2004年正式公布的新《巴塞尔资本协议》中,重新修订了银行风险的分类和定义,强调银行在进行风险管理的时候,不仅要重视传统的信用风险、市场风险、流动性风险,而且要将防范操作风险放在一个重要的地位,并将信息科技风险明确划归操作风险的范畴,从而使得信息科技风险管理成为了银行全面风险管理体系中的重要组成部分。
3.加强信息科技风险管理是银行提高IT治理水平的需要
根据IT治理模型,IT风险管理与战略一致性、资源管理、绩效评估等构成IT治理总体架构,而且是其中的一个重要方面。随着各家银行信息化建设的深入,对信息科技风险的认识也在逐步加深,从单一的信息安全转变为涵盖生产运行、应用研发、信息安全等方面的全面IT风险管理,信息科技风险管理水平体现了银行的信息化程度和整体的风险管理水平。在商业银行完成股份制改造和上市之后,商业银行已普遍认识到信息科技方面一旦发生风险事件,不仅会影响业务的正常办理,还可能会对银行的声誉和市值产生负面影响,因此更加重视信息科技风险管理,对加强信息科技风险管理提出了更髙的要求。
二、加强信息科技风险管理的相应举措
根据国际权威机构信息系统审计与控制委员会(ISACA)的信息系统风险控制和IT审计工作的最佳实践指南,信息科技风险管理应关注IT治理、软件生命周期管理(即项目开发与变更)、IT服务交付与支持(即系统运行维护)、信息安全、业务连续性管理等五大领域。在上述领域,各家商业银行纷纷采取了各种风险管理措施。下面以中国工商银行股份有限公司(以下简称“工商银行”)为例进行介绍。
多年来,工商银行坚持“科技兴行'“科技引领”发展战略,建立了集约化的科技组织体系,并逐步建立了与国际大银行相适应的先进的科技体系和技术平台。自2006年起,工商银行正式将信息科技风险纳入了全行风险管理体系,作为操作风险管理的重要内容,并在信息科技风险管理方面开展了大量工作。
1.信息科技风险管理组织体系工商银行成立了信息系统应急领导小组,由行长担任组长,主管副行长任副组长,信息科技部、办公室、个人金融部、运行管理部等相关部门负责人为成员,负责领导和组织信息系统重大事件的应急处理、灾难备份和恢复、计算机信息系统的安全防护等工作。科技部门定期向董事会、行长办公会、技术审查委员会、风险管理委员会汇报信息科技风险管理工作。同时,工商银行总行以及分行的科技部门均设有负责信息科技风险管理的部门,建立了一支专业的风险防护队伍,为加强信息科技风险管理提供了组织保障。
2008年,国家有关监管、审计部门对工商银行目前的信息科技风险管理情况都给予了较髙的评价,认为工商银行构建了较完整的信息科技治理结构,构成了信息科技管理、信息科技风险管理和信息科技审计三道防线。
2.项目开发管理
针对由于版本质量造成的应用研发风险,工商银行采取了一系列措施,严格保障应用系统研发质量。一是不断改进研发和测试管理流程,加强需求管理、项目方案审查、研发过程管理和项目质量控制;二是及时优化调整应用版本、测试和投产策略,针对版本投产比较频繁等情况,明确了“版本集中投产”的原则,切实降低因版本投产和生产变更带来的风险隐患;三是与业务部门密切配合,力卩强沟通和协调,实现风险共担。
3.运行维护和操作管理
生产运行风险是信息科技风险的突出表现,并且根据实际情况统计,大约有50%的生产运行风险是由管理操作原因引起的。为此,工商银行始终坚持“将确保信息系统安全稳定运行放在信息科技工作首位”的指导思想,并持续强化运行管理操作的各项措施,降低系统运行风险。一是建立了全行统一集中的监控管理平台(ECC),对主机和开放平台等各类应用系统进行实时监控,实现生产操作、监控的自动化;二是通过部署帮助台系统、网络管理系统、性能容量管理系统、资源管理系统等工具和系统,逐步提髙生产运行管理的自动化程度;三是建立了完备的应急管理体系,明确了应急预案和流程,确保出现紧急事件情况下能够进行妥善处理,将事件影响降至最低。
4.信息安全管理
信息安全管理的核心是要建立健全信息安全的内部控制体系,通过技术和管理手段,确保银行信息系统和数据的机密性、完整性和可用性。为此,工商银行建立了一支专门的信息安全防护队伍,及时分析和解决存在的各类信息安全隐患。同时,积极落实信息安全体系规范和信息安全等级保护措施,部署了入侵检测、漏洞扫描等一系列信息安全防护工具,实施了客户端安全管理。由于采取了及时有效的防御措施,假冒网站、网络攻击等事件虽然时有发生,伹没有对信息系统的稳定运行造成不良影响。特别是在北京奥运会期间,工商银行成功抵御了针对网上银行系统的恶意攻击,保障了电子银行业务正常开展,维护了企业声誉。
5.业务连续性管理
多年来,工商银行始终坚持“数据集中处理、主机灾难备份、平台多点接入、业务跨区受理”的原则开展信息系统技术体系建设,自行建立了国内同业领先的完善的技术灾备体系。2003年以后,工商银行建立了核心业务异地灾难备份系统,实施了同城磁盘镜像,成为国内同业第一家同时具备同城和异地灾备系统的银行,为保障信息系统的连续性运行奠定了技术基础。与此同时,工商银行依靠自身力量制定了《信息系统连续性运作计划(ITCP)》,并从2005年开始,每年都进行一次全行业务级灾难恢复应急演练,模拟在上海的生产中心发生灾难或信息系统长时间无法得到恢复的情况下,将全行核心业务切换到北京的灾备中心的技术和业务处理,有效保障了灾备系统的有效性。
三、加强信息科技风险管理需要思考的若干问题
目前,商业银行在实施信息科技风险管理过程中主要面对以下几方面的问题。
1.要关注信息科技风险计量和相关标准规范体系建设
对于银行来说,操作风险本身就是一种比较难以控制的风险,目前世界银行业也没有一种公认的成熟方法来计量。新《巴塞尔资本协议》要求2007年所有的银行都要开始按照协议规定的三种方法中的一种来计算经济资本,进而控制操作风险。伹据调查,60%以上的银行未从2007年开始对操作风险实行量化管理,大多数银行的预期实施时间是2010年〜2012年。可见,银行业在对于整个操作风险的管理体系、流程、计量方法和工具等方面的探索还远远落后于传统的信用风险和市场风险管理等领域。而银行信息科技风险除了人为误操作因素以外,还与日趋复杂的信息系统软硬件环境直接相关,因此要对其进行科学、准确的度量和评估,存在更大难度。从全球范围来看,尽管国际上一些大银行在信息科技风险管理方面已经积累了一定的经验,伹迄今为止真正构建出有效的、完善的、可量化的信息科技风险管理体系的银行却为数寥寥。因此,国内银行业需要首先考虑建立一套量化的指标体系,科学衡量银行的信息科技风险。同时,建议相关主管部门牵头在信息科技管理领域建立相应的标准规范,以指导和促进国内商业银行提髙信息科技风险管理的规范化、标准化水平。
2.正确认识灾难备份体系建设的内涵
建立完备的灾备体系对银行的重要意义毋庸置疑,伹灾备体系建设应遵循什么样的标准和原则,是否所有银行系统都遵循同样的标准建设灾备系统,是商业银行在灾备体系规划和建设过程中需要认真考虑的问题。通常情况下,银行可以根据业务系统的重要性、灾难恢复的时效性要求和银行自身的风险承受能力等因素,参考相关国际标准n,综合评定划分灾备等级,确定业务恢复时间(RTO)、业务丢失时间(RPO)等关键指标,在此基础上,遵循成本效益的原则,按照相应的标准开展灾备建设。目前,国外现代化商业银行普遍采用此种做法,首先确定系统的灾备等级,并相应实施不同的灾备策略,重点对关键设施和系统实施髙等级的灾备保护措施。
因此,建议国内相关行业主管部门积极引导各商业银行根据实际情况,采取分级实施、逐步推进的原则,借鉴国外银行的先进经验,优先确保关键设施和重要业务系统的连续性运作,在实现灾备体系建设目标的同时,也相应降低建设和维护的成本。
3.信息科技风险管理需要业务部门的关注和共同参与
与应用产品创新工作需要科技部门和业务部门共同完成类似,虽然信息科技风险管理更多关注的是IT领域,伹其中相当一部分内容与业务部门息息相关。
在业务连续性管理方面,在科技部门建成了灾备系统的基础上,需要业务部门制定业务层面的应急计划,指导业务人员在信息系统中断和恢复时进行业务的应急处理,从而与科技部门协同开展应急恢复工作。
金融信息管理篇5
目前,我国各金融院校信管专业人才培养模式百花齐放、百家争鸣,各高校按照市场经济的需要和背景专业的特点,自由确定人才培养目标,不受到某种规则的约束,导致信管专业的人才培养存在有许多问题,如课程设置不合理、教学实践资源匮乏、实验内容陈旧且单一等。长此以往不仅会导致培养出来的信管专业人才五花八门,甚至不伦不类,从而给金融院校的专业设置、招生工作和就业分配过程带来混乱,引起不良的社会后果,而且会重蹈“务实求用”的老套路,不适合培养符合社会长远需要的金融系统高级信息管理人才。不断加强和改进信息管理人才的培养工作,促进金融人才队伍的跨越式发展,已经成为新时期金融院校信息管理人才培养的迫切任务。因此,有必要对现有的金融院校信管人才培养模式进行全面探讨和深入研究,构建一种适合学生的主体性和专业性、适应社会需求的新型人才培养模式。
2金融院校信管专业人才培养中存在的主要问题
2.1专业内涵不清晰,发展方向不明确
目前我国金融院校的信息管理与信息系统专业各派纷呈,没有统一的教学和人才培养模式,没有统一的专业人才价值认同。对专业内容、专业范围的理解不一致,专业内涵理解不够清晰,培养目标缺乏准确定位。有些金融高校确定的信管专业培养目标和很多名校的信管专业非常相似,没有突出金融特色,这是值得商榷的。
2.2课程体系不严谨,知识结构不明确,教学方案比较混乱
2010年l0月召开的全国高校“信息管理与信息系统专业教育研讨会”确定了8门核心课程。分别是管理学原理、经济学、信息管理学、数据结构与数据库、信息组织、信息存贮与检索、计算机网络与信息系统。各高校在制订培养计划时,据此为准则,同时对有些课程进行了调整。有的金融高校根据学校特色增加一些金融管理类专业课程为核心课程。一般情况下,该专业的核心课程有十几门。但这些核心课程基本上是金融、管理、计算机专业的核心课程,课程架构不严密。
2.3实践教学不够突出,专业能力训练不够,软硬件平台亟待完善
突出实践教学,加强对学生动手能力的培养。软硬件平台亟待完善,有些必要教学设施设备还不能满足现代教育的要求。大学教育的重要目的是训练出学生能够解决专业问题和学习创新知识的能力。掌握丰厚、扎实的理论知识是打造能力的必要基础,要根据专业课程的特点,在课程设置、教材选择、课程实践、成绩评价等方面进一步强化解决问题的能力训练。
3金融院校信管专业人才培养模式的优化
金融院校信管专业的人才培养目标应为:旨在培养既懂金融管理知识,具有管理思维,又掌握计算机和信息技术知识与技能,能在工商企业、金融机构、商业银行等部门从事管理信息系统分析、设计、开发和进行信息管理的跨学科的复合型人才。为此,应从以下几个方面努力:
3.1突出金融院校人才培养特色,将专业发展与学科建设相结合
专业建设首先要明确专业所在的学科。专业建设的内涵是构建专业知识结构的依据,构建特色鲜明的专业知识结构和培养目标是专业建设的关键。学科发展不断给专业发展产生新的方向,专业发展为学科发展打下坚实的基础。金融院校开设信息管理与信息系统专业,其中金融是管理的目标,计算机技术是金融管理的手段。信管专业知识应通过金融院校的主干学科、核心课程、特色课程,以及专业培养计划的导学图等方式体现,信管专业的基本理论知识与基本技能应融化在金融管理专业培养的课程体系中。计算机科学与技术是该专业的基础,同时体现金融院校特色。该专业知识结构侧重于基本技能培养,重点在于应用,而不是原理。金融管理是本专业的应用对象,应当从应用的角度去了解金融管理类相关的其他专业基本理论与方法。
3.2完善课程体系建设,注重学科知识之间的融合
信管专业应设立面向金融领域问题解决的跨学科、多课程集成的综合应用类课程,灵活增加金融学科相关课程,突出金融特色,体现交叉学科的知识优势和专业特色。精选专业核心课程,突出重点课程,为学生增加管理、计算机、金融等学科的选修课程,菜单式的课程结构可以根据用人单位的订单或对人才市场的预测,适当地安排最佳的“套餐”课程。同时,对课程计划学时进行整体优化,对照培养目标,分解出每门课程的重点、要点及难点,即找出构架学生课程知识体系的关键因素,再进一步明确该课程所需的教学时数。这样,在新的培养方案中删除了陈旧、过时的课程内容,同时结合现代信息技术事业发展的需要增加了许多新内容、新知识,以反映信息技术的最新成果,使学生学到先进的科学知识和技能。
3.3面向人才市场需求,建立阶梯式人才培养过程
该专业知识结构的重点和关键是从计算机科学与技术中的数据到金融管理中的信息所形成的独特知识结构。这一知识链的构建,必须符合信息化进程中社会对信息管理与信息系统高级人才的需求。金融院校制订的专业知识结构应当适应人才市场的需求。尤其在新生入学之初,通过名家讲座、学术引领、人生指点,使学生的学习更有目标、更有规划,增强了学生对本专业学习的积极性和主动性,激发了学生热爱信息管理与信息系统专业的兴趣。这样,不仅拓宽了学生的专业知识面,又符合该专业动态的知识结构需要。平时定期安排信息技术课程方面的技术讲座,邀请名师专家开设专题报告,尤其是安排一些软件开发企业、特大型工业企业、银行、证券和保险等各类型的信息主管进校介绍信息管理与信息系统的实际应用及今后的需求情况,这样有利于学生掌握基础知识和基本技能,有利于为学生今后进一步深造打下良好基础;有利于学生适应社会信息化的全面需要,更好地为社会服务。总之,学生的知识积累、技能提高、素质增强等都需要经过一定的培养过程。
3.4完善信管专业实践能力培养体系,提高学生的实践操作能力
金融信息管理篇6
关键词:金融业;信息管理;问题;建议
中图分类号:F830.2文献标识码:A文章编号:1001-828X(2015)005-0000-01
一、金融业机构信息管理现状
(一)基本情况
截至2014年末,全辖共有38家金融机构,含22家金融机构,16家小额贷款公司,其中9家小额贷款公司未在系统中注册,系统中实有29家注册金融机构,共291家分支机构(网点),已申请机构编码的网点282个,占网点总数的97%;未申请使用机构编码网点9个,占网点总数的3%。
(二)人民银行验证工作及金融业机构信息变动情况
2010年至今,为规范辖区金融业机构信息,各级人民银行定期组织相关人员对全辖金融业机构信息进行验证。验证内容包括金融机构数量、状态信息是否与管理系统一致;金融机构的相关要素信息是否与管理系统一致;金融机构执行《管理规定》的情况,是否存在纰漏、迟报、不报的情况。通过验证,发现存在系统存量数据不全、部分金融业机构的基础信息缺项等问题。
2014年巴州辖内共为13家机构做信息变更,主要为名称变更和出资人变更;新增8家小额贷款公司分支机构;撤销1家金融机构的2个分支机构;5家金融机构和5家小额贷款公司未能按照《金融业机构信息管理规定》在金融机构信息发生变动后7个工作日内向人民银行书面报备,申请机构信息维护。
二、金融业机构信息管理存在的问题
(一)认知度不高。由于不清楚政策规定,部分金融机构不主动向人民银行申请金融机构编码。特别是小额贷款公司的监管权在地方政府,并且机构编码和金融机构本身的业务关联度不高,造成金融机构对于申报工作认识程度不高,管理不到位,年检不主动。其在申请、变更金融机构编码后,金融机构编码也就被束之高阁,未能在各类金融信息系统中全面应用,制约了金融机构信息管理的推广与使用。以巴州为例,虽然每年以正式的文件和召开专题会议的形式将通知发送到全辖金融机构,但是大多金融机构对机构代码及代码规范的重要性认识不够充分,不清楚机构代码的作用和意义,对信息核对和检查等相关工作不够积极配合,联系人经常变动,工作交接不衔接。
(二)沟通协调机制不畅。科技部门作为人民银行的对内部门,多不了解辖内金融机构相关信息,尤其是中小型地方金融机构和小贷公司,因此难以掌握这类金融机构的审批成立时间和数量。如果金融机构新增、变更或撤消时未按规定在有关部门批准后的7个工作日报送相关信息,将导致录入的信息不及时,违背了“实时公布”的原则。再者,因未明确商业银行维护机构信息的责任部门,有的是办公室,有的是科技部门,还有一些是由会计业务类部门负责此项工作,导致部门间沟通回合多、协调环节复杂。
(三)制度约束力不强。《管理规定》中对金融机构未按规定执行的处罚条款不明确,责令整改和通报的惩戒力不足。由于缺乏约束力,多数金融机构平时不重视此项工作。信息发生变更不及时更新,或是申报时时间跨度早已超过文件规定期限的现象屡见不鲜。加之科技部门又无相应的执法权,无法对此项工作的完成情况进行检查,日常进行的口头督促不具有合法性和权威性。
(四)属地管理原则与权限设置相背离。金融机构的县级分支机构和区域性法人金融机构在不断增加。但系统维护由人民银行地市中心支行以上机构负责,《金融业机构信息管理规定》中明确规定:中国人民银行分支机构按属地原则负责辖区内区域性法人金融机构、金融机构分支机构和事业部信息的编制、备案、维护和,造成县域金融机构在申请机构编码时极为不便。以巴州为例,辖内地广人稀,相距最远县城达上千公里,无论是金融机构提交材料还是去现场检查,来去都极为麻烦,且费时费力。而人民银行县支行却没有对应的维护权限,给日常工作造成诸多不便。
三、对策及建议
(一)采取有效措施扩大机构编码的应用范围。加大编码使用范围,建立信息共享和制约机制。在人民银行信息系统中大力推广使用,建立人民银行各部门之间以及与商业银行之间的联动制约机制,规定商业银行必须申请使用编码后才能开展某些业务,从而促使金融机构主动做好信息验证工作,及时进行系统信息维护,进而加快推动金融机构编码的启用进程,以保障金融机构信息系统数据的准确性、完整性、唯一性和信息公布的及时性,帮助实现金融机构问系统互联互通、信息共享。
(二)建立全面协调沟通机制。通过人民银行组织的金融机构参加的各类联席会议、业务交流会以及各种宣传活动等多种方式和途径,进一步加大《金融业机构信息管理规定》的宣讲力度及系统的推广使用。特别是通过行长联席会议等,使得各金融机构行领导特别是分管行领导要高度重视人民银行金融标准信息化建设工作,落实专职部门负责,指派专人作为联系人与当地人民银行科技部门保持联系,及时报备机构信息变动所需材料。
(三)建议进一步细化制度规定。明晰信息管理工作中的奖惩细则与依据,强化金融业机构信息管理制约手段。建议明确处罚依据和责任追究手段,明确商业银行维护机构信息的责任部门。同时,对监督检查主体进行业务和执法培训,办理执法证,在人民银行综合执法检查中添加对此项工作的专业检查。
