一、挑戰(zhàn)與責(zé)任
  根據(jù)銀監(jiān)會發(fā)布的2012年《中國銀行業(yè)運行報告》顯示,農(nóng)村金融機構(gòu)的資產(chǎn)余額同比增長幅度已經(jīng)傲視各類商業(yè)銀行,這直接驗證了農(nóng)村金融機構(gòu)的飛躍式發(fā)展。
  但是,農(nóng)村金融機構(gòu)管理基礎(chǔ)薄弱的歷史問題,和農(nóng)村金融改革中合規(guī)性要求越來越多、越來越嚴(yán)格的現(xiàn)實,導(dǎo)致農(nóng)村金融機構(gòu)所面臨的挑戰(zhàn)與日俱增。
  作為農(nóng)村金融機構(gòu)核心之一的信息科技部門,首當(dāng)其沖地承擔(dān)了挑戰(zhàn)所帶來的壓力。依據(jù)農(nóng)村金融機構(gòu)的發(fā)展態(tài)勢,信息科技部門所承擔(dān)挑戰(zhàn)可以分為以下幾個方面。
  一是IT服務(wù)能力的挑戰(zhàn)。IT服務(wù)能力不僅決定了是否可以滿足今天金融機構(gòu)業(yè)務(wù)運營的要求,更決定了是否可以支撐未來業(yè)務(wù)的發(fā)展。由于農(nóng)村金融機構(gòu)的跨越式發(fā)展,導(dǎo)致對IT的要求日新月異。信息科技部門在新引進的技術(shù)尚未被完全消化之際,又不得不為業(yè)務(wù)的快速發(fā)展而去尋求更新的技術(shù)。
  二是信息資產(chǎn)安全的挑戰(zhàn)。金融機構(gòu)的業(yè)務(wù)越來越依賴于IT信息,猶如血液流淌在業(yè)務(wù)流程之中。而IT信息本身的脆弱性,決定了其被威脅的可能性與日俱增,尤其是在信息技術(shù)飛速發(fā)展的今天,給金融機構(gòu)帶來的風(fēng)險、沖擊及損失也就日益嚴(yán)重。作為金融機構(gòu)的重要資產(chǎn),對于IT信息的保護就顯得更為突出和重要。尤其是在監(jiān)管機構(gòu)相關(guān)指引的要求下,更增添了合規(guī)性的要求。
  三是業(yè)務(wù)連續(xù)性保障的挑戰(zhàn)。農(nóng)村金融機構(gòu)與其他事關(guān)經(jīng)濟民生的公眾機構(gòu)一樣,承擔(dān)著重要的社會責(zé)任,其業(yè)務(wù)連續(xù)性的保證能力直接影響到社會的穩(wěn)定性。而作為金融服務(wù)主要支持骨架的信息科技部門,更是首當(dāng)其沖地?fù)?dān)負(fù)起保障業(yè)務(wù)連續(xù)的責(zé)任,責(zé)無旁貸地肩負(fù)起IT服務(wù)連續(xù)性的重?fù)?dān)。同時監(jiān)管機構(gòu)的指引也要求機構(gòu)達(dá)到相應(yīng)的業(yè)務(wù)連續(xù)性監(jiān)管要求。
  二、如何應(yīng)對風(fēng)險
  面對挑戰(zhàn)、壓力、風(fēng)險、合規(guī),農(nóng)村金融機構(gòu)如何以不變應(yīng)萬變,即能管控住風(fēng)險,又能保證業(yè)務(wù)的連續(xù),還能滿足監(jiān)管機構(gòu)的要求呢?
  我們可以從三個角度來分析應(yīng)對之策。首先是技術(shù),近幾年農(nóng)村金融機構(gòu)對于IT的投入呈現(xiàn)逐年大幅遞增的趨勢。但是,技術(shù)的投入是永無止境的,對于新技術(shù)的消化也需要冗長的時間,而技術(shù)折舊速度之快又是殘酷的現(xiàn)實。維持高額的持續(xù)投入就可以滿足風(fēng)險管控和合規(guī)性的要求了嗎?顯然不是,因為技術(shù)還是要靠人來操作的。
  那我們再看看人,坦率地說,歷史原因?qū)е罗r(nóng)村金融機構(gòu)人員的技術(shù)和能力水平都與股份制和商業(yè)金融機構(gòu)存在著較大差異。雖然近幾年農(nóng)村金融機構(gòu)在高端人才引入方面重金投入,但人員結(jié)構(gòu)斷層現(xiàn)象依然存在,且非一朝一夕可以解決。
  既然從技術(shù)和人兩個方面短期內(nèi)無有效解決困局途徑,我們只能著眼于第三條路了,這就是管理。之前我們也提到,農(nóng)村金融機構(gòu)的管理因歷史原因還處于比較粗放和人治為主的階段。因此,首先機構(gòu)要認(rèn)清自己目前的管理現(xiàn)狀如何,從管理成熟度和管理顆粒度兩個方面定位自身處于管理生命周期的哪個階段。這種管理診斷非常重要,直接關(guān)系到應(yīng)該引進什么樣的技術(shù),以及培養(yǎng)什么團隊。否則技術(shù)和人滯后于管理水平會制約機構(gòu)的運營和發(fā)展,而超越管理水平會導(dǎo)致嚴(yán)重的水土不服,也會給運營和發(fā)展帶來負(fù)面的影響。
  三、“標(biāo)準(zhǔn)”助力風(fēng)險管控
  如何定位及評估機構(gòu)管理的成熟度,如何構(gòu)建與機構(gòu)發(fā)展階段相適應(yīng)的管理架構(gòu)。農(nóng)村金融機構(gòu)可以從國際標(biāo)準(zhǔn)中尋找到適合的解決之道。
  提到國際標(biāo)準(zhǔn),大多數(shù)人會陷入一個誤區(qū),即將國際標(biāo)準(zhǔn)與認(rèn)證證書直接聯(lián)系在一起,認(rèn)為采納國際標(biāo)準(zhǔn)就是為了認(rèn)證,就是為了一紙證書。其實不然,國際標(biāo)準(zhǔn)是全球最頂尖的管理專家依據(jù)全球各種類型組織的經(jīng)驗教訓(xùn)和a1實踐濃縮出來的a1管理結(jié)構(gòu)和核心管控要素。農(nóng)村金融機構(gòu)經(jīng)歷過和沒經(jīng)歷過的教訓(xùn)和先進的管理方法都融入到“標(biāo)準(zhǔn)”的字里行間了。這就好比是一面明鏡,可以幫助農(nóng)村金融機構(gòu)比對出自身的現(xiàn)狀,并參照其構(gòu)建自己的管理架構(gòu)。
  針對農(nóng)村金融機構(gòu)面臨的風(fēng)險和挑戰(zhàn),以下三類國際標(biāo)準(zhǔn)可以幫助金融機構(gòu)來構(gòu)筑自身的保障體系。
  在IT服務(wù)能力管理方面,目前有以下三個國際標(biāo)準(zhǔn),ITIL V2,ITIL V3和ISO20000 IT服務(wù)管理體系。其中的ITIL V2,近幾年在中國的金融機構(gòu)已經(jīng)得到了較為普遍的應(yīng)用。ITIL V2主要是幫助機構(gòu)管理IT服務(wù)的各組成模塊,包括每個模塊的細(xì)節(jié)流程要素,目標(biāo)與服務(wù)的實現(xiàn)。ITIL V3從IT服務(wù)的生命周期角度,將ITIL V2的管理延伸到了服務(wù)的策劃、服務(wù)的實現(xiàn)和服務(wù)改進,形成的IT服務(wù)的PDCA生命周期。目前,國內(nèi)也已經(jīng)有部分金融機構(gòu)開始參照ITIL V3來完善全服務(wù)流程了。ISO20000與ITIL V3非常接近,只是從管理的角度來看待IT服務(wù),并通過一個完整、系統(tǒng)地管理架構(gòu)來保證ITIL V2、ITIL V3的應(yīng)用效果,更方便將IT服務(wù)融合到現(xiàn)有的其他管理架構(gòu)中,從而形成一套包含IT服務(wù)管理的全面組織管理架構(gòu)。
  簡單說,我們可以把ITIL V2、ITIL V3與ISO20000比喻成點、線、面的關(guān)系。
  在信息資產(chǎn)風(fēng)險管理方面,國際上有兩個層級的國際標(biāo)準(zhǔn),ISO27001信息安全管理體系和BS100012個人信息保護管理體系。如前文所述,信息資產(chǎn)就如同金融機構(gòu)的血液,價值高但很脆弱,容易受到攻擊。信息風(fēng)險的發(fā)生,小則影響業(yè)務(wù)的運營,大則導(dǎo)致業(yè)務(wù)中斷。因此,必須采取主動的系統(tǒng)防護措施。ISO27001從信息安全管理的11個管理領(lǐng)域,通過全球經(jīng)驗和教訓(xùn)累計出來的對133個具體管控點的管理來保證信息的安全。提供了農(nóng)村金融機構(gòu)一整套完整有效的a1實踐。而BS 10012是在基于ISO27001有效管理的基礎(chǔ)上,隨著近幾年個人隱私事件的頻發(fā)和個人對隱私保護的訴求越來越高而誕生的標(biāo)準(zhǔn)。尤其是對存儲著海量個人信息的金融機構(gòu),再加上國家立法腳步的臨近,就越發(fā)顯得重要。BSl0012幫助機構(gòu)建立起一套完整的個人信息管理系統(tǒng),從信息采集的策劃,到信息的采集,到信息的存儲、到信息的使用,到信息的銷毀。幫助金融機構(gòu)防范個人信息風(fēng)險給機構(gòu)帶來的法律、榮譽、運營、財務(wù)等方面的沖擊。
  在業(yè)務(wù)連續(xù)性管理方面,也有兩個層級的國際標(biāo)準(zhǔn),一個是ISO22031業(yè)務(wù)連續(xù)性管理體系,一個是ISO27031 ICT服務(wù)連續(xù)性管理體系。兩個標(biāo)準(zhǔn)差別可以這樣理解,ISO22031是機構(gòu)整體的業(yè)務(wù)連續(xù)性管理,目標(biāo)是當(dāng)災(zāi)難發(fā)生導(dǎo)致業(yè)務(wù)中斷時,機構(gòu)有能力按照既定的策略、流程和方法在目標(biāo)的時間內(nèi)按照預(yù)設(shè)的恢復(fù)程度來恢復(fù)業(yè)務(wù),其核心關(guān)注點是組織恢復(fù)能力的彈性。而ISO27031更關(guān)注的IT服務(wù)中斷時,如何在設(shè)定目標(biāo)內(nèi)恢復(fù),而不是全部的業(yè)務(wù)流程。
  以上國際標(biāo)準(zhǔn)足以幫助農(nóng)村金融機構(gòu)建立起一套科學(xué)、完整、有效的管理機制,從而更大地發(fā)揮技術(shù)和人的優(yōu)勢,應(yīng)對生存和發(fā)展的挑戰(zhàn)。
  其實,除了要滿足金融機構(gòu)自身的生存和發(fā)展需要外,日趨嚴(yán)格和細(xì)致的監(jiān)管要求,也促使農(nóng)村金融機構(gòu)需要考慮如何通過完善的管理制度,以不變應(yīng)萬變地滿足各種監(jiān)管的要求和檢查。近幾年,銀監(jiān)會連續(xù)發(fā)布了幾個與信息科技緊密相關(guān)的指引,如《商業(yè)銀行信息科技風(fēng)險管理指引》、《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》、《銀行業(yè)金融機構(gòu)外包管理指引》等。從指引的核心管控要素來看,以上的監(jiān)管要求和目的均可以被上文所提及的一系列國際標(biāo)準(zhǔn)所覆蓋。換個角度來看,如果農(nóng)村金融機構(gòu)可以按照上述國際標(biāo)準(zhǔn)來構(gòu)建自身的管理架構(gòu),并嚴(yán)格地按照標(biāo)準(zhǔn)的相關(guān)要求實施有效管控措施的話,是可以滿足監(jiān)管要求并從容應(yīng)對監(jiān)管機構(gòu)核查的。
  2013年中,某大型商業(yè)銀行的系統(tǒng)故障再次為我們敲響了警鐘——科技風(fēng)險無小事,要多大有多大!
  希望國際標(biāo)準(zhǔn)科學(xué)的管理結(jié)構(gòu)、成熟的管理方法論、基于全球a1實踐的核心管控要素以及流程化、文件化的固化管理手段,可以幫助農(nóng)村金融機構(gòu)更好地管控風(fēng)險,保障業(yè)務(wù)的連續(xù)性。
   FRM官方微信  
  掃一掃微信,*9時間獲取2014年FRM考試報名時間和考試時間提醒
  
  高頓網(wǎng)校特別提醒:已經(jīng)報名2014年FRM考試的考生可按照復(fù)習(xí)計劃有效進行!另外,高頓網(wǎng)校2014年FRM考試輔導(dǎo)高清課程已經(jīng)開通,通過針對性地講解、訓(xùn)練、答疑、模考,對學(xué)習(xí)過程進行全程跟蹤、分析、指導(dǎo),可以幫助考生全面提升備考效果。
  報考指南:2014年FRM考試報考指南
  免費題庫:2014年FRM考試免費題庫
  考試輔導(dǎo):FRM考試招生專題
  高清網(wǎng)課:FRM考試網(wǎng)絡(luò)課程