一、挑戰(zhàn)與責任
  根據(jù)銀監(jiān)會發(fā)布的2012年《中國銀行業(yè)運行報告》顯示,農村金融機構的資產(chǎn)余額同比增長幅度已經(jīng)傲視各類商業(yè)銀行,這直接驗證了農村金融機構的飛躍式發(fā)展。
  但是,農村金融機構管理基礎薄弱的歷史問題,和農村金融改革中合規(guī)性要求越來越多、越來越嚴格的現(xiàn)實,導致農村金融機構所面臨的挑戰(zhàn)與日俱增。
  作為農村金融機構核心之一的信息科技部門,首當其沖地承擔了挑戰(zhàn)所帶來的壓力。依據(jù)農村金融機構的發(fā)展態(tài)勢,信息科技部門所承擔挑戰(zhàn)可以分為以下幾個方面。
  一是IT服務能力的挑戰(zhàn)。IT服務能力不僅決定了是否可以滿足今天金融機構業(yè)務運營的要求,更決定了是否可以支撐未來業(yè)務的發(fā)展。由于農村金融機構的跨越式發(fā)展,導致對IT的要求日新月異。信息科技部門在新引進的技術尚未被完全消化之際,又不得不為業(yè)務的快速發(fā)展而去尋求更新的技術。
  二是信息資產(chǎn)安全的挑戰(zhàn)。金融機構的業(yè)務越來越依賴于IT信息,猶如血液流淌在業(yè)務流程之中。而IT信息本身的脆弱性,決定了其被威脅的可能性與日俱增,尤其是在信息技術飛速發(fā)展的今天,給金融機構帶來的風險、沖擊及損失也就日益嚴重。作為金融機構的重要資產(chǎn),對于IT信息的保護就顯得更為突出和重要。尤其是在監(jiān)管機構相關指引的要求下,更增添了合規(guī)性的要求。
  三是業(yè)務連續(xù)性保障的挑戰(zhàn)。農村金融機構與其他事關經(jīng)濟民生的公眾機構一樣,承擔著重要的社會責任,其業(yè)務連續(xù)性的保證能力直接影響到社會的穩(wěn)定性。而作為金融服務主要支持骨架的信息科技部門,更是首當其沖地擔負起保障業(yè)務連續(xù)的責任,責無旁貸地肩負起IT服務連續(xù)性的重擔。同時監(jiān)管機構的指引也要求機構達到相應的業(yè)務連續(xù)性監(jiān)管要求。
  二、如何應對風險
  面對挑戰(zhàn)、壓力、風險、合規(guī),農村金融機構如何以不變應萬變,即能管控住風險,又能保證業(yè)務的連續(xù),還能滿足監(jiān)管機構的要求呢?
  我們可以從三個角度來分析應對之策。首先是技術,近幾年農村金融機構對于IT的投入呈現(xiàn)逐年大幅遞增的趨勢。但是,技術的投入是永無止境的,對于新技術的消化也需要冗長的時間,而技術折舊速度之快又是殘酷的現(xiàn)實。維持高額的持續(xù)投入就可以滿足風險管控和合規(guī)性的要求了嗎?顯然不是,因為技術還是要靠人來操作的。
  那我們再看看人,坦率地說,歷史原因導致農村金融機構人員的技術和能力水平都與股份制和商業(yè)金融機構存在著較大差異。雖然近幾年農村金融機構在高端人才引入方面重金投入,但人員結構斷層現(xiàn)象依然存在,且非一朝一夕可以解決。
  既然從技術和人兩個方面短期內無有效解決困局途徑,我們只能著眼于第三條路了,這就是管理。之前我們也提到,農村金融機構的管理因歷史原因還處于比較粗放和人治為主的階段。因此,首先機構要認清自己目前的管理現(xiàn)狀如何,從管理成熟度和管理顆粒度兩個方面定位自身處于管理生命周期的哪個階段。這種管理診斷非常重要,直接關系到應該引進什么樣的技術,以及培養(yǎng)什么團隊。否則技術和人滯后于管理水平會制約機構的運營和發(fā)展,而超越管理水平會導致嚴重的水土不服,也會給運營和發(fā)展帶來負面的影響。
  三、“標準”助力風險管控
  如何定位及評估機構管理的成熟度,如何構建與機構發(fā)展階段相適應的管理架構。農村金融機構可以從國際標準中尋找到適合的解決之道。
  提到國際標準,大多數(shù)人會陷入一個誤區(qū),即將國際標準與認證證書直接聯(lián)系在一起,認為采納國際標準就是為了認證,就是為了一紙證書。其實不然,國際標準是全球最頂尖的管理專家依據(jù)全球各種類型組織的經(jīng)驗教訓和a1實踐濃縮出來的a1管理結構和核心管控要素。農村金融機構經(jīng)歷過和沒經(jīng)歷過的教訓和先進的管理方法都融入到“標準”的字里行間了。這就好比是一面明鏡,可以幫助農村金融機構比對出自身的現(xiàn)狀,并參照其構建自己的管理架構。
  針對農村金融機構面臨的風險和挑戰(zhàn),以下三類國際標準可以幫助金融機構來構筑自身的保障體系。
  在IT服務能力管理方面,目前有以下三個國際標準,ITIL V2,ITIL V3和ISO20000 IT服務管理體系。其中的ITIL V2,近幾年在中國的金融機構已經(jīng)得到了較為普遍的應用。ITIL V2主要是幫助機構管理IT服務的各組成模塊,包括每個模塊的細節(jié)流程要素,目標與服務的實現(xiàn)。ITIL V3從IT服務的生命周期角度,將ITIL V2的管理延伸到了服務的策劃、服務的實現(xiàn)和服務改進,形成的IT服務的PDCA生命周期。目前,國內也已經(jīng)有部分金融機構開始參照ITIL V3來完善全服務流程了。ISO20000與ITIL V3非常接近,只是從管理的角度來看待IT服務,并通過一個完整、系統(tǒng)地管理架構來保證ITIL V2、ITIL V3的應用效果,更方便將IT服務融合到現(xiàn)有的其他管理架構中,從而形成一套包含IT服務管理的全面組織管理架構。
  簡單說,我們可以把ITIL V2、ITIL V3與ISO20000比喻成點、線、面的關系。
  在信息資產(chǎn)風險管理方面,國際上有兩個層級的國際標準,ISO27001信息安全管理體系和BS100012個人信息保護管理體系。如前文所述,信息資產(chǎn)就如同金融機構的血液,價值高但很脆弱,容易受到攻擊。信息風險的發(fā)生,小則影響業(yè)務的運營,大則導致業(yè)務中斷。因此,必須采取主動的系統(tǒng)防護措施。ISO27001從信息安全管理的11個管理領域,通過全球經(jīng)驗和教訓累計出來的對133個具體管控點的管理來保證信息的安全。提供了農村金融機構一整套完整有效的a1實踐。而BS 10012是在基于ISO27001有效管理的基礎上,隨著近幾年個人隱私事件的頻發(fā)和個人對隱私保護的訴求越來越高而誕生的標準。尤其是對存儲著海量個人信息的金融機構,再加上國家立法腳步的臨近,就越發(fā)顯得重要。BSl0012幫助機構建立起一套完整的個人信息管理系統(tǒng),從信息采集的策劃,到信息的采集,到信息的存儲、到信息的使用,到信息的銷毀。幫助金融機構防范個人信息風險給機構帶來的法律、榮譽、運營、財務等方面的沖擊。
  在業(yè)務連續(xù)性管理方面,也有兩個層級的國際標準,一個是ISO22031業(yè)務連續(xù)性管理體系,一個是ISO27031 ICT服務連續(xù)性管理體系。兩個標準差別可以這樣理解,ISO22031是機構整體的業(yè)務連續(xù)性管理,目標是當災難發(fā)生導致業(yè)務中斷時,機構有能力按照既定的策略、流程和方法在目標的時間內按照預設的恢復程度來恢復業(yè)務,其核心關注點是組織恢復能力的彈性。而ISO27031更關注的IT服務中斷時,如何在設定目標內恢復,而不是全部的業(yè)務流程。
  以上國際標準足以幫助農村金融機構建立起一套科學、完整、有效的管理機制,從而更大地發(fā)揮技術和人的優(yōu)勢,應對生存和發(fā)展的挑戰(zhàn)。
  其實,除了要滿足金融機構自身的生存和發(fā)展需要外,日趨嚴格和細致的監(jiān)管要求,也促使農村金融機構需要考慮如何通過完善的管理制度,以不變應萬變地滿足各種監(jiān)管的要求和檢查。近幾年,銀監(jiān)會連續(xù)發(fā)布了幾個與信息科技緊密相關的指引,如《商業(yè)銀行信息科技風險管理指引》、《商業(yè)銀行業(yè)務連續(xù)性監(jiān)管指引》、《銀行業(yè)金融機構外包管理指引》等。從指引的核心管控要素來看,以上的監(jiān)管要求和目的均可以被上文所提及的一系列國際標準所覆蓋。換個角度來看,如果農村金融機構可以按照上述國際標準來構建自身的管理架構,并嚴格地按照標準的相關要求實施有效管控措施的話,是可以滿足監(jiān)管要求并從容應對監(jiān)管機構核查的。
  2013年中,某大型商業(yè)銀行的系統(tǒng)故障再次為我們敲響了警鐘——科技風險無小事,要多大有多大!
  希望國際標準科學的管理結構、成熟的管理方法論、基于全球a1實踐的核心管控要素以及流程化、文件化的固化管理手段,可以幫助農村金融機構更好地管控風險,保障業(yè)務的連續(xù)性。
   FRM官方微信  
  掃一掃微信,*9時間獲取2014年FRM考試報名時間和考試時間提醒
  
  高頓網(wǎng)校特別提醒:已經(jīng)報名2014年FRM考試的考生可按照復習計劃有效進行!另外,高頓網(wǎng)校2014年FRM考試輔導高清課程已經(jīng)開通,通過針對性地講解、訓練、答疑、???,對學習過程進行全程跟蹤、分析、指導,可以幫助考生全面提升備考效果。
  報考指南:2014年FRM考試報考指南
  免費題庫:2014年FRM考試免費題庫
  考試輔導:FRM考試招生專題
  高清網(wǎng)課:FRM考試網(wǎng)絡課程