一、挑战与责任
  根据银监会发布的2012年《中国银行业运行报告》显示,农村金融机构的资产余额同比增长幅度已经傲视各类商业银行,这直接验证了农村金融机构的飞跃式发展。
  但是,农村金融机构管理基础薄弱的历史问题,和农村金融改革中合规性要求越来越多、越来越严格的现实,导致农村金融机构所面临的挑战与日俱增。
  作为农村金融机构核心之一的信息科技部门,首当其冲地承担了挑战所带来的压力。依据农村金融机构的发展态势,信息科技部门所承担挑战可以分为以下几个方面。
  一是IT服务能力的挑战。IT服务能力不仅决定了是否可以满足今天金融机构业务运营的要求,更决定了是否可以支撑未来业务的发展。由于农村金融机构的跨越式发展,导致对IT的要求日新月异。信息科技部门在新引进的技术尚未被完全消化之际,又不得不为业务的快速发展而去寻求更新的技术。
  二是信息资产安全的挑战。金融机构的业务越来越依赖于IT信息,犹如血液流淌在业务流程之中。而IT信息本身的脆弱性,决定了其被威胁的可能性与日俱增,尤其是在信息技术飞速发展的今天,给金融机构带来的风险、冲击及损失也就日益严重。作为金融机构的重要资产,对于IT信息的保护就显得更为突出和重要。尤其是在监管机构相关指引的要求下,更增添了合规性的要求。
  三是业务连续性保障的挑战。农村金融机构与其他事关经济民生的公众机构一样,承担着重要的社会责任,其业务连续性的保证能力直接影响到社会的稳定性。而作为金融服务主要支持骨架的信息科技部门,更是首当其冲地担负起保障业务连续的责任,责无旁贷地肩负起IT服务连续性的重担。同时监管机构的指引也要求机构达到相应的业务连续性监管要求。
  二、如何应对风险
  面对挑战、压力、风险、合规,农村金融机构如何以不变应万变,即能管控住风险,又能保证业务的连续,还能满足监管机构的要求呢?
  我们可以从三个角度来分析应对之策。首先是技术,近几年农村金融机构对于IT的投入呈现逐年大幅递增的趋势。但是,技术的投入是永无止境的,对于新技术的消化也需要冗长的时间,而技术折旧速度之快又是残酷的现实。维持高额的持续投入就可以满足风险管控和合规性的要求了吗?显然不是,因为技术还是要靠人来操作的。
  那我们再看看人,坦率地说,历史原因导致农村金融机构人员的技术和能力水平都与股份制和商业金融机构存在着较大差异。虽然近几年农村金融机构在高端人才引入方面重金投入,但人员结构断层现象依然存在,且非一朝一夕可以解决。
  既然从技术和人两个方面短期内无有效解决困局途径,我们只能着眼于第三条路了,这就是管理。之前我们也提到,农村金融机构的管理因历史原因还处于比较粗放和人治为主的阶段。因此,首先机构要认清自己目前的管理现状如何,从管理成熟度和管理颗粒度两个方面定位自身处于管理生命周期的哪个阶段。这种管理诊断非常重要,直接关系到应该引进什么样的技术,以及培养什么团队。否则技术和人滞后于管理水平会制约机构的运营和发展,而超越管理水平会导致严重的水土不服,也会给运营和发展带来负面的影响。
  三、“标准”助力风险管控
  如何定位及评估机构管理的成熟度,如何构建与机构发展阶段相适应的管理架构。农村金融机构可以从国际标准中寻找到适合的解决之道。
  提到国际标准,大多数人会陷入一个误区,即将国际标准与认证证书直接联系在一起,认为采纳国际标准就是为了认证,就是为了一纸证书。其实不然,国际标准是全球最顶尖的管理专家依据全球各种类型组织的经验教训和a1实践浓缩出来的a1管理结构和核心管控要素。农村金融机构经历过和没经历过的教训和先进的管理方法都融入到“标准”的字里行间了。这就好比是一面明镜,可以帮助农村金融机构比对出自身的现状,并参照其构建自己的管理架构。
  针对农村金融机构面临的风险和挑战,以下三类国际标准可以帮助金融机构来构筑自身的保障体系。
  在IT服务能力管理方面,目前有以下三个国际标准,ITIL V2,ITIL V3和ISO20000 IT服务管理体系。其中的ITIL V2,近几年在中国的金融机构已经得到了较为普遍的应用。ITIL V2主要是帮助机构管理IT服务的各组成模块,包括每个模块的细节流程要素,目标与服务的实现。ITIL V3从IT服务的生命周期角度,将ITIL V2的管理延伸到了服务的策划、服务的实现和服务改进,形成的IT服务的PDCA生命周期。目前,国内也已经有部分金融机构开始参照ITIL V3来完善全服务流程了。ISO20000与ITIL V3非常接近,只是从管理的角度来看待IT服务,并通过一个完整、系统地管理架构来保证ITIL V2、ITIL V3的应用效果,更方便将IT服务融合到现有的其他管理架构中,从而形成一套包含IT服务管理的全面组织管理架构。
  简单说,我们可以把ITIL V2、ITIL V3与ISO20000比喻成点、线、面的关系。
  在信息资产风险管理方面,国际上有两个层级的国际标准,ISO27001信息安全管理体系和BS100012个人信息保护管理体系。如前文所述,信息资产就如同金融机构的血液,价值高但很脆弱,容易受到攻击。信息风险的发生,小则影响业务的运营,大则导致业务中断。因此,必须采取主动的系统防护措施。ISO27001从信息安全管理的11个管理领域,通过全球经验和教训累计出来的对133个具体管控点的管理来保证信息的安全。提供了农村金融机构一整套完整有效的a1实践。而BS 10012是在基于ISO27001有效管理的基础上,随着近几年个人隐私事件的频发和个人对隐私保护的诉求越来越高而诞生的标准。尤其是对存储着海量个人信息的金融机构,再加上国家立法脚步的临近,就越发显得重要。BSl0012帮助机构建立起一套完整的个人信息管理系统,从信息采集的策划,到信息的采集,到信息的存储、到信息的使用,到信息的销毁。帮助金融机构防范个人信息风险给机构带来的法律、荣誉、运营、财务等方面的冲击。
  在业务连续性管理方面,也有两个层级的国际标准,一个是ISO22031业务连续性管理体系,一个是ISO27031 ICT服务连续性管理体系。两个标准差别可以这样理解,ISO22031是机构整体的业务连续性管理,目标是当灾难发生导致业务中断时,机构有能力按照既定的策略、流程和方法在目标的时间内按照预设的恢复程度来恢复业务,其核心关注点是组织恢复能力的弹性。而ISO27031更关注的IT服务中断时,如何在设定目标内恢复,而不是全部的业务流程。
  以上国际标准足以帮助农村金融机构建立起一套科学、完整、有效的管理机制,从而更大地发挥技术和人的优势,应对生存和发展的挑战。
  其实,除了要满足金融机构自身的生存和发展需要外,日趋严格和细致的监管要求,也促使农村金融机构需要考虑如何通过完善的管理制度,以不变应万变地满足各种监管的要求和检查。近几年,银监会连续发布了几个与信息科技紧密相关的指引,如《商业银行信息科技风险管理指引》、《商业银行业务连续性监管指引》、《银行业金融机构外包管理指引》等。从指引的核心管控要素来看,以上的监管要求和目的均可以被上文所提及的一系列国际标准所覆盖。换个角度来看,如果农村金融机构可以按照上述国际标准来构建自身的管理架构,并严格地按照标准的相关要求实施有效管控措施的话,是可以满足监管要求并从容应对监管机构核查的。
  2013年中,某大型商业银行的系统故障再次为我们敲响了警钟——科技风险无小事,要多大有多大!
  希望国际标准科学的管理结构、成熟的管理方法论、基于全球a1实践的核心管控要素以及流程化、文件化的固化管理手段,可以帮助农村金融机构更好地管控风险,保障业务的连续性。
   FRM官方微信  
  扫一扫微信,*9时间获取2014年FRM考试报名时间和考试时间提醒
  
  高顿网校特别提醒:已经报名2014年FRM考试的考生可按照复习计划有效进行!另外,高顿网校2014年FRM考试辅导高清课程已经开通,通过针对性地讲解、训练、答疑、模考,对学习过程进行全程跟踪、分析、指导,可以帮助考生全面提升备考效果。
  报考指南:2014年FRM考试报考指南
  免费题库:2014年FRM考试免费题库
  考试辅导:FRM考试招生专题
  高清网课:FRM考试网络课程