一、挑戰(zhàn)與責(zé)任
  根據(jù)銀監(jiān)會(huì)發(fā)布的2012年《中國(guó)銀行業(yè)運(yùn)行報(bào)告》顯示,農(nóng)村金融機(jī)構(gòu)的資產(chǎn)余額同比增長(zhǎng)幅度已經(jīng)傲視各類商業(yè)銀行,這直接驗(yàn)證了農(nóng)村金融機(jī)構(gòu)的飛躍式發(fā)展。
  但是,農(nóng)村金融機(jī)構(gòu)管理基礎(chǔ)薄弱的歷史問題,和農(nóng)村金融改革中合規(guī)性要求越來越多、越來越嚴(yán)格的現(xiàn)實(shí),導(dǎo)致農(nóng)村金融機(jī)構(gòu)所面臨的挑戰(zhàn)與日俱增。
  作為農(nóng)村金融機(jī)構(gòu)核心之一的信息科技部門,首當(dāng)其沖地承擔(dān)了挑戰(zhàn)所帶來的壓力。依據(jù)農(nóng)村金融機(jī)構(gòu)的發(fā)展態(tài)勢(shì),信息科技部門所承擔(dān)挑戰(zhàn)可以分為以下幾個(gè)方面。
  一是IT服務(wù)能力的挑戰(zhàn)。IT服務(wù)能力不僅決定了是否可以滿足今天金融機(jī)構(gòu)業(yè)務(wù)運(yùn)營(yíng)的要求,更決定了是否可以支撐未來業(yè)務(wù)的發(fā)展。由于農(nóng)村金融機(jī)構(gòu)的跨越式發(fā)展,導(dǎo)致對(duì)IT的要求日新月異。信息科技部門在新引進(jìn)的技術(shù)尚未被完全消化之際,又不得不為業(yè)務(wù)的快速發(fā)展而去尋求更新的技術(shù)。
  二是信息資產(chǎn)安全的挑戰(zhàn)。金融機(jī)構(gòu)的業(yè)務(wù)越來越依賴于IT信息,猶如血液流淌在業(yè)務(wù)流程之中。而IT信息本身的脆弱性,決定了其被威脅的可能性與日俱增,尤其是在信息技術(shù)飛速發(fā)展的今天,給金融機(jī)構(gòu)帶來的風(fēng)險(xiǎn)、沖擊及損失也就日益嚴(yán)重。作為金融機(jī)構(gòu)的重要資產(chǎn),對(duì)于IT信息的保護(hù)就顯得更為突出和重要。尤其是在監(jiān)管機(jī)構(gòu)相關(guān)指引的要求下,更增添了合規(guī)性的要求。
  三是業(yè)務(wù)連續(xù)性保障的挑戰(zhàn)。農(nóng)村金融機(jī)構(gòu)與其他事關(guān)經(jīng)濟(jì)民生的公眾機(jī)構(gòu)一樣,承擔(dān)著重要的社會(huì)責(zé)任,其業(yè)務(wù)連續(xù)性的保證能力直接影響到社會(huì)的穩(wěn)定性。而作為金融服務(wù)主要支持骨架的信息科技部門,更是首當(dāng)其沖地?fù)?dān)負(fù)起保障業(yè)務(wù)連續(xù)的責(zé)任,責(zé)無旁貸地肩負(fù)起IT服務(wù)連續(xù)性的重?fù)?dān)。同時(shí)監(jiān)管機(jī)構(gòu)的指引也要求機(jī)構(gòu)達(dá)到相應(yīng)的業(yè)務(wù)連續(xù)性監(jiān)管要求。
  二、如何應(yīng)對(duì)風(fēng)險(xiǎn)
  面對(duì)挑戰(zhàn)、壓力、風(fēng)險(xiǎn)、合規(guī),農(nóng)村金融機(jī)構(gòu)如何以不變應(yīng)萬變,即能管控住風(fēng)險(xiǎn),又能保證業(yè)務(wù)的連續(xù),還能滿足監(jiān)管機(jī)構(gòu)的要求呢?
  我們可以從三個(gè)角度來分析應(yīng)對(duì)之策。首先是技術(shù),近幾年農(nóng)村金融機(jī)構(gòu)對(duì)于IT的投入呈現(xiàn)逐年大幅遞增的趨勢(shì)。但是,技術(shù)的投入是永無止境的,對(duì)于新技術(shù)的消化也需要冗長(zhǎng)的時(shí)間,而技術(shù)折舊速度之快又是殘酷的現(xiàn)實(shí)。維持高額的持續(xù)投入就可以滿足風(fēng)險(xiǎn)管控和合規(guī)性的要求了嗎?顯然不是,因?yàn)榧夹g(shù)還是要靠人來操作的。
  那我們?cè)倏纯慈?,坦率地說,歷史原因?qū)е罗r(nóng)村金融機(jī)構(gòu)人員的技術(shù)和能力水平都與股份制和商業(yè)金融機(jī)構(gòu)存在著較大差異。雖然近幾年農(nóng)村金融機(jī)構(gòu)在高端人才引入方面重金投入,但人員結(jié)構(gòu)斷層現(xiàn)象依然存在,且非一朝一夕可以解決。
  既然從技術(shù)和人兩個(gè)方面短期內(nèi)無有效解決困局途徑,我們只能著眼于第三條路了,這就是管理。之前我們也提到,農(nóng)村金融機(jī)構(gòu)的管理因歷史原因還處于比較粗放和人治為主的階段。因此,首先機(jī)構(gòu)要認(rèn)清自己目前的管理現(xiàn)狀如何,從管理成熟度和管理顆粒度兩個(gè)方面定位自身處于管理生命周期的哪個(gè)階段。這種管理診斷非常重要,直接關(guān)系到應(yīng)該引進(jìn)什么樣的技術(shù),以及培養(yǎng)什么團(tuán)隊(duì)。否則技術(shù)和人滯后于管理水平會(huì)制約機(jī)構(gòu)的運(yùn)營(yíng)和發(fā)展,而超越管理水平會(huì)導(dǎo)致嚴(yán)重的水土不服,也會(huì)給運(yùn)營(yíng)和發(fā)展帶來負(fù)面的影響。
  三、“標(biāo)準(zhǔn)”助力風(fēng)險(xiǎn)管控
  如何定位及評(píng)估機(jī)構(gòu)管理的成熟度,如何構(gòu)建與機(jī)構(gòu)發(fā)展階段相適應(yīng)的管理架構(gòu)。農(nóng)村金融機(jī)構(gòu)可以從國(guó)際標(biāo)準(zhǔn)中尋找到適合的解決之道。
  提到國(guó)際標(biāo)準(zhǔn),大多數(shù)人會(huì)陷入一個(gè)誤區(qū),即將國(guó)際標(biāo)準(zhǔn)與認(rèn)證證書直接聯(lián)系在一起,認(rèn)為采納國(guó)際標(biāo)準(zhǔn)就是為了認(rèn)證,就是為了一紙證書。其實(shí)不然,國(guó)際標(biāo)準(zhǔn)是全球最頂尖的管理專家依據(jù)全球各種類型組織的經(jīng)驗(yàn)教訓(xùn)和a1實(shí)踐濃縮出來的a1管理結(jié)構(gòu)和核心管控要素。農(nóng)村金融機(jī)構(gòu)經(jīng)歷過和沒經(jīng)歷過的教訓(xùn)和先進(jìn)的管理方法都融入到“標(biāo)準(zhǔn)”的字里行間了。這就好比是一面明鏡,可以幫助農(nóng)村金融機(jī)構(gòu)比對(duì)出自身的現(xiàn)狀,并參照其構(gòu)建自己的管理架構(gòu)。
  針對(duì)農(nóng)村金融機(jī)構(gòu)面臨的風(fēng)險(xiǎn)和挑戰(zhàn),以下三類國(guó)際標(biāo)準(zhǔn)可以幫助金融機(jī)構(gòu)來構(gòu)筑自身的保障體系。
  在IT服務(wù)能力管理方面,目前有以下三個(gè)國(guó)際標(biāo)準(zhǔn),ITIL V2,ITIL V3和ISO20000 IT服務(wù)管理體系。其中的ITIL V2,近幾年在中國(guó)的金融機(jī)構(gòu)已經(jīng)得到了較為普遍的應(yīng)用。ITIL V2主要是幫助機(jī)構(gòu)管理IT服務(wù)的各組成模塊,包括每個(gè)模塊的細(xì)節(jié)流程要素,目標(biāo)與服務(wù)的實(shí)現(xiàn)。ITIL V3從IT服務(wù)的生命周期角度,將ITIL V2的管理延伸到了服務(wù)的策劃、服務(wù)的實(shí)現(xiàn)和服務(wù)改進(jìn),形成的IT服務(wù)的PDCA生命周期。目前,國(guó)內(nèi)也已經(jīng)有部分金融機(jī)構(gòu)開始參照ITIL V3來完善全服務(wù)流程了。ISO20000與ITIL V3非常接近,只是從管理的角度來看待IT服務(wù),并通過一個(gè)完整、系統(tǒng)地管理架構(gòu)來保證ITIL V2、ITIL V3的應(yīng)用效果,更方便將IT服務(wù)融合到現(xiàn)有的其他管理架構(gòu)中,從而形成一套包含IT服務(wù)管理的全面組織管理架構(gòu)。
  簡(jiǎn)單說,我們可以把ITIL V2、ITIL V3與ISO20000比喻成點(diǎn)、線、面的關(guān)系。
  在信息資產(chǎn)風(fēng)險(xiǎn)管理方面,國(guó)際上有兩個(gè)層級(jí)的國(guó)際標(biāo)準(zhǔn),ISO27001信息安全管理體系和BS100012個(gè)人信息保護(hù)管理體系。如前文所述,信息資產(chǎn)就如同金融機(jī)構(gòu)的血液,價(jià)值高但很脆弱,容易受到攻擊。信息風(fēng)險(xiǎn)的發(fā)生,小則影響業(yè)務(wù)的運(yùn)營(yíng),大則導(dǎo)致業(yè)務(wù)中斷。因此,必須采取主動(dòng)的系統(tǒng)防護(hù)措施。ISO27001從信息安全管理的11個(gè)管理領(lǐng)域,通過全球經(jīng)驗(yàn)和教訓(xùn)累計(jì)出來的對(duì)133個(gè)具體管控點(diǎn)的管理來保證信息的安全。提供了農(nóng)村金融機(jī)構(gòu)一整套完整有效的a1實(shí)踐。而BS 10012是在基于ISO27001有效管理的基礎(chǔ)上,隨著近幾年個(gè)人隱私事件的頻發(fā)和個(gè)人對(duì)隱私保護(hù)的訴求越來越高而誕生的標(biāo)準(zhǔn)。尤其是對(duì)存儲(chǔ)著海量個(gè)人信息的金融機(jī)構(gòu),再加上國(guó)家立法腳步的臨近,就越發(fā)顯得重要。BSl0012幫助機(jī)構(gòu)建立起一套完整的個(gè)人信息管理系統(tǒng),從信息采集的策劃,到信息的采集,到信息的存儲(chǔ)、到信息的使用,到信息的銷毀。幫助金融機(jī)構(gòu)防范個(gè)人信息風(fēng)險(xiǎn)給機(jī)構(gòu)帶來的法律、榮譽(yù)、運(yùn)營(yíng)、財(cái)務(wù)等方面的沖擊。
  在業(yè)務(wù)連續(xù)性管理方面,也有兩個(gè)層級(jí)的國(guó)際標(biāo)準(zhǔn),一個(gè)是ISO22031業(yè)務(wù)連續(xù)性管理體系,一個(gè)是ISO27031 ICT服務(wù)連續(xù)性管理體系。兩個(gè)標(biāo)準(zhǔn)差別可以這樣理解,ISO22031是機(jī)構(gòu)整體的業(yè)務(wù)連續(xù)性管理,目標(biāo)是當(dāng)災(zāi)難發(fā)生導(dǎo)致業(yè)務(wù)中斷時(shí),機(jī)構(gòu)有能力按照既定的策略、流程和方法在目標(biāo)的時(shí)間內(nèi)按照預(yù)設(shè)的恢復(fù)程度來恢復(fù)業(yè)務(wù),其核心關(guān)注點(diǎn)是組織恢復(fù)能力的彈性。而ISO27031更關(guān)注的IT服務(wù)中斷時(shí),如何在設(shè)定目標(biāo)內(nèi)恢復(fù),而不是全部的業(yè)務(wù)流程。
  以上國(guó)際標(biāo)準(zhǔn)足以幫助農(nóng)村金融機(jī)構(gòu)建立起一套科學(xué)、完整、有效的管理機(jī)制,從而更大地發(fā)揮技術(shù)和人的優(yōu)勢(shì),應(yīng)對(duì)生存和發(fā)展的挑戰(zhàn)。
  其實(shí),除了要滿足金融機(jī)構(gòu)自身的生存和發(fā)展需要外,日趨嚴(yán)格和細(xì)致的監(jiān)管要求,也促使農(nóng)村金融機(jī)構(gòu)需要考慮如何通過完善的管理制度,以不變應(yīng)萬變地滿足各種監(jiān)管的要求和檢查。近幾年,銀監(jiān)會(huì)連續(xù)發(fā)布了幾個(gè)與信息科技緊密相關(guān)的指引,如《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》、《商業(yè)銀行業(yè)務(wù)連續(xù)性監(jiān)管指引》、《銀行業(yè)金融機(jī)構(gòu)外包管理指引》等。從指引的核心管控要素來看,以上的監(jiān)管要求和目的均可以被上文所提及的一系列國(guó)際標(biāo)準(zhǔn)所覆蓋。換個(gè)角度來看,如果農(nóng)村金融機(jī)構(gòu)可以按照上述國(guó)際標(biāo)準(zhǔn)來構(gòu)建自身的管理架構(gòu),并嚴(yán)格地按照標(biāo)準(zhǔn)的相關(guān)要求實(shí)施有效管控措施的話,是可以滿足監(jiān)管要求并從容應(yīng)對(duì)監(jiān)管機(jī)構(gòu)核查的。
  2013年中,某大型商業(yè)銀行的系統(tǒng)故障再次為我們敲響了警鐘——科技風(fēng)險(xiǎn)無小事,要多大有多大!
  希望國(guó)際標(biāo)準(zhǔn)科學(xué)的管理結(jié)構(gòu)、成熟的管理方法論、基于全球a1實(shí)踐的核心管控要素以及流程化、文件化的固化管理手段,可以幫助農(nóng)村金融機(jī)構(gòu)更好地管控風(fēng)險(xiǎn),保障業(yè)務(wù)的連續(xù)性。
   FRM官方微信  
  掃一掃微信,*9時(shí)間獲取2014年FRM考試報(bào)名時(shí)間和考試時(shí)間提醒
  
  高頓網(wǎng)校特別提醒:已經(jīng)報(bào)名2014年FRM考試的考生可按照復(fù)習(xí)計(jì)劃有效進(jìn)行!另外,高頓網(wǎng)校2014年FRM考試輔導(dǎo)高清課程已經(jīng)開通,通過針對(duì)性地講解、訓(xùn)練、答疑、???,對(duì)學(xué)習(xí)過程進(jìn)行全程跟蹤、分析、指導(dǎo),可以幫助考生全面提升備考效果。
  報(bào)考指南:2014年FRM考試報(bào)考指南
  免費(fèi)題庫(kù):2014年FRM考試免費(fèi)題庫(kù)
  考試輔導(dǎo):FRM考試招生專題
  高清網(wǎng)課:FRM考試網(wǎng)絡(luò)課程