对于我行来讲暂时只能使用概率估计方法从主观和客观两方面进行风险估计以达到定性的风险估计方式。以下五张图表的发生概率是从 2012年上线后到 2015 年 3 月之前,每一次信息系统发生风险事件的记录和查阅的相关资料大致测算的。五张图表分别是根据上文识别的五类风险(技术风险、管理风险、自然风险、创新风险和声誉风险)中易发生的风险事件按照发生概率、严重性得出如下风险等级量化表(表 3.1-3.5):
信息系统复杂度越高,受各应用系统通信能力限制造成的风险越大;软件设计缺陷会导致系统运行不畅的中等风险等级,由于代码编程生成后不易改动。因此对于软件的设计包括系统规划、逻辑设计、功能设计、系统实施、程序设计和编码,应遵循合规性和易操作原则;测试结果偏离度对上线后的系统运行起到很重要的预估作用,尽管能够在上线后及时补救但发生的频次较高属于高等级风险;物理与环境安全和通讯异常针对硬件方面,信息系统由各类设备组成对周围环境和人为干扰比较敏感,因此属于中等风险;由于硬件设施的使用年限和维修售后因此发生的概率极少,发生后往往能够及时维修因此硬件设备故障风险等级较低。
目前采用的纸质传递方式对于决策有一定的延误,但由于各部门对事件发生的处理速度提高因此综合看来风险等级较低;授权不充分和第三方管理不足都是由于人为的管理不严格造成的,因此需提高重视程度评定为中级风险;我行因为人员变动频繁和有些人员能力不足造成分工界限不明确或一人兼任多职或工作量较大而造成工作失误,出现真空管理等现象较严重,因此评定为高风险等级需要尽快引起风险管理者重视;部门间缺乏沟通联系大部分是由于不熟悉彼此的业务范围或技术造成的,可以通过耐心沟通互相学习的方式使风险等级降低甚至忽略。
自然风险中包含的风险事件多半都是由于不可抗力发生后造成的,风险等级偏高,但其中的风险事件可以通过事前预估和准备来有效防范和降低。本文后面会提到针对自然风险的治理措施。
创新风险中的风险事件基本上风险等级都为中等,主要由于创新本身所带来的不可预估性特点造成的。信息系统发展带来的无限创新可能性同时对风险的把握和管理应该通过不断学习和借鉴成功案例、效仿他行产品、精细测试环节和市场调研等行动控制风险等级。
声誉风险发生事件主要来自公众对信息系统运行的评价,由于声誉风险属于信息资产列表中的无形资产,自存款实名制实施以来,银行对于客户身份证件信息、电话号码等重要隐私采集愈发细致,所以造成泄露事件的发生概率也明显升高,对社会公众造成很大程度上的影响和困扰。其风险等级处于居高不下状态。而对于报送类信息,当系统处理采集的信息出现问题时就会导致信息披露不畅从而对银行的声誉造成中度风险。
3.4 信息系统运行过程中风险的评价
在风险识别和风险估计的基础上,对风险发生的概率,严重性等级和后果再结合其他因素进行全面考虑,本文所得的风险综合评价遵循风险管理的重视程度采取“就高原则”,利用风险矩阵图以确定风险管理时的轻重缓急和应对策略风险事件的发生概率系数为 0.1-0.9 之间,对事故评级分为一等事故指全系统失效,二等事故为主要系统损伤,三等事故是系统轻度损伤而四等事故主要是低于轻度系统损伤或部分损伤并容易挽回。
对于风险事件的发生概率参考生产数据积累后的平均值判断,对于严重性等级则使用模糊数学法进行主客观估计,而对于结果的预测则使用头脑风暴法对结果进行估计。(1)对技术风险和管理风险而言,技术风险中发生最频繁影响最广泛的因子在于运行维护阶段产生的风险,此类风险发生在系统维护变更阶段,一旦有新业务需求上线和对固有业务进行改造升级时就会造成此类风险的发生,因此常常出现产品回退现象;管理风险的后果一般是对决策延误造成的隐形或明显的经济性损失。其次,人员不能胜任和人员变动等带来的负面情绪和“青黄不接”局面。授权基本不明确造成的不经过审批就肆意更改数据的情况时有发生。此类风险的发生一般只是内部草率处理因此并未认识到造成风险的严重性,往往最容易被忽视,其后果具有传染性和蔓延性。
(2)创新风险则主要是涉及利用信息系统所研发出的产品在市场上是否具有竞争力和前瞻性以及对能否占领市场的一种估计。信息系统与业务创新成相辅相成的态势,创新风险因为存在对市场变化的无法预估性,测试阶段的人工体验有限,很多功能服务并非尽善尽美,因此只能通过用户反馈和造成的市场效果才能对创新产品的风险进行跟踪。
(3)自然风险发生的频率最低但其后果是灾难性的。因此,自然风险是需要坚决杜绝的造成不可逆转损失的灾难性风险。毫无疑问,建立灾备中心和应急系统是解决这类风险的关键。
(4)声誉风险往往由很多风险发生后共同作用的结果。声誉风险是无形的,也不是立竿见影能够捕捉到,发生时一般会通过存款下降,贷款比例失调,前台业务减少等等迹象表明。但其表现并不十分明显,需要通过大概一个周期能够观察反映。声誉风险一旦发生并不容易被弥补也往往很难再次建立。因此,声誉风险是银行最看重的一种风险也是最难以管理的一种风险。
通过上述各表对发生概率和危害程度综合得出,发生概率在 0-0.2;0.3-0.5;0.6-0.8;0.9-1.0 所对应的发生概率分别可以描述为“不可能,极少,有时,很可能,频繁”,因此可以使用风险矩阵对风险划分等级(表 3.7):
由表 3.7 能够得出风险等级由高到低分别为:自然风险、声誉风险、创新风险、技术风险、管理风险。声誉风险、创新风险和技术风险都属于中等风险,因此根据我行实际情况应首先对自然风险进行治理,自然风险的特点突出,突发性强,频次极少,但容易事前准备和规划,因此属于较容易治理的风险。其次,技术风险和创新风险属于相互作用影响的风险,技术的提升势必降低创新风险的发生,而声誉风险由于属于各种风险发生的后果总和因此在管理等级上需要通过其他风险管理的配合才能够化解。最后,管理风险是一种比较低的风险,但并不意味着可以松懈,因为长期管理不善势必导致其他风险的升高。在风险管理上,对于很高风险通常为严重不可接受,高风险为不可接受,中等风险一般不可接受,而低风险则有条件的可接受,而可忽略的一些风险则为暂时可接受,如果风险等级升级则需治理。对于不可接受的风险各责任部门按照不可接受风险处理计划的要求采取有效安全控制措施,确保所采取的控制措施是充分的,直到其风险降至可接受为止。所有有关风险评估的资料,均属秘密以上级别,不经允许,不得向任何第三方透露。资料的保存工作由科技信息处执行。
另外,因为行内目前缺乏大量的数据统计支持,因此笔者只能通过大致估计概率的方式绘制较为宽泛的风险矩阵图,日后在信息系统的风险管理中可以针对每个不同的风险因素具体的风险因子分析。例如技术风险还可以细分到从软硬件等设备发生的风险可能性细致制定打分标准、管理风险可以根据流程制定、人员管理等子项设置分值权重等。对识别出的风险管理种类能够加深认识从而对每一类的总体评价提供数据支持。
第1章绪论1.1选题背景与研究意义1.1.1选题背景在我国的金融行业里,以城市信用社为前身的城市商业银行发展起步比较晚,追溯其发展史,可以发现我国最早的城市商业银行--深圳市商业银行是在1995年建立的。时至今日,我国的城市商银行虽然已经走过了...
第4章建设银行吉林省分行支持城镇化建设的策略为了解决建设银行吉林分行在支持吉林省城镇化建设策略中存在的种种问题,必须对建设银行吉林分行在支持城镇化建设理念、支持城镇化融资项目、人员资源配置以及投资环境和合作伙伴进行梳理和引导。想要充分发...
第四章莱商银行发展社区银行的SWOT分析4.1莱商银行发展社区银行内部优势4.1.1经营机制灵活,产品可延伸性强小银行有小银行的优点与特长。莱商银行尽管资产已经突破500亿元,但是相对而言还是地方性的中小银行。在日常的经营管理过程中,莱商银行能...
第3章AB银行私人银行业务发展现状及问题3.1AB银行私人银行业务发展情况AB银行于2011年末正式启动推出私人银行服务,凭借服务理念获得了市场的认可:AB银行私人银行面向可管理资产达到800万人民币的个人高端客户提供服务,目前私人银行服务的客...
第四章信用卡套现风险识别及在银行中的应用4.1信用卡套现风险的识别当前我国对信用卡套现行为的识别比较普遍的是采用评分模型。评分模型是将客户的基本信息和进行过的历史交易相关特征作为根据,将数据挖掘技术和统计方法作为工具和手段,构建出适当的计...
摘要在我国的金融行业里,以城市信用社为前身的城市商业银行发展起步比较晚,为了在当前日益激烈的银行业的竞争的夹缝中更好的生存发展,就需要立足自身的实际情况,寻找强大自己的有效途径。为此,我国的城市商业银行不得不避开银行业务竞争中的热点,积...
结束语作为中小型商业银行,莱商银行的发展道路应该是建立特色的经营机制与业务考核机制,脱身于竞争激烈的大顾客领域,不断的开拓新的市场,即大型国有银行无暇顾及的普通居民金融服务领域与小微企业顾客群体。作为中小商业银行的典型代表,发展社区银行是...
摘要小微企业是我国国民经济和社会发展的重要组成部分,已成为推动我国经济发展的重要力量。为解决小微企业经营困难、融资难等问题,国务院和相关部委连续出台了一系列扶持小微企业的政策举措,这些措施对商业银行发展小微企业贷款业务具有利好的促进作用...
第四章吉林银行信息系统运行过程中风险管理的对策探讨根据《商业银行信息科技风险管理指引》第二十七条商业银行应制定相关策略和流程,管理所有生产系统的活动日志,以支持有效的审核、安全取证分析和预防欺诈。4.1信息系统运行风险管理采用的应对策略...
第2章相关概念及理论概述2.1相关核心概念的界定2.1.1城市商业银行城市商业银行是在20世纪90年代的中期,由于我国特殊的历史条件下形成的,其前身是城市信用社。作为我国银行业中比较特殊的形式,成立的初衷是整顿城市信用社的发展,防范地方金融...