银行开发风险管理

1、银行it建设与风险管理交流文档 本人在一家城商行（下而以xxx银行指代）负责it风险管理工作，前段时间应 领导要求与同城另一家银行（下面以xx行指代）的it部门负责人进行了沟通， 我将自己这几年对银行it建设与风险管理的想法总结成了几篇 文档发给了对 方，其中也包括针对对方提出的问题作出的一些个人意见和建议。这里先发出第 一篇，希望跟大家交流、学习一下。题目：针对xx银行it现状的反馈建议xx银行作为一家重组后成立的新银行，it建设正处于起步阶段，可以充分 借鉴xxx银行以及国内外其他同行的经验与教训，先规划后实施、建设和管理并 重，少走弯路，以实现1t投资效益的最大化，在风险可控的前捉下，达

2、到1t 大力支撑业务发展的目标。针对xx银行it现状材料，结合xxx银行的情况以及个人的知识积累，阐述 下对材料中提到的各项差距的看法。差距一：全行rr建设思想和认识不统一银行业金融机构运用it是为业务发展服务的，但服务的方式是有差别的， 因此需要找好it的定位。it是紧跟业务需求实施支持，述是与业务相辅相成， 还是利用技术引导业务创新？这种定位需要结合自身的实际情况來决策，不同 的定位决定了不同的it建设模式，会影响后续人力、物力、资金等一系列的投 入。xx银行目前所处的发展阶段，可能应该将1t定位丁主要满足现冇的业务 发展要求，补充建设欠缺的it系统，提高信息化水平，支持网点和产品扩张，

3、离通过it来引领业务发展，增强核心竞争力还有一定的距离，但这可以是一个 中长期的发展战略。对于it系统应该采取一种全生命周期的视角去看待，一套系统从设计到开 发到上线运行到淘汰，就像人一样是冇个连续的过程的。行业经验表明系统开发 只占系统生命周期的30%,银行不是为了上一套系统而去开发一套系统，系统的 真正价值在于它运行起来，并满足使用口的。为什么要上马一套系统应该经过充 分的分析（按照监管要求必须建设的系统除外），要结合业务需求、技术可行 性、成本、收益、实施风险等多种因素來考虑。差距二：信息科技中氏期发展规划欠缺xxx银行就吃过无规划建设的亏，就像修房子没有设计图纸所造成的后果一 样。系统

4、建设只从该系统本身出发考虑，忽略了整个it架构，忽略了系统间的 连接，并且缺乏而瞻性；另一方面，没有规划就不清楚该建什么系统，什么系统 先建什么后建。it规划一定要有可落地性，在一个宏观整体规划的基础上，最好可以针对it基 础设施、应用架构、数据标准等各个具体的方面制定子规划。子规划的针对性更 强、内容更详细，更利于落地，指导具体的建设步骤。差距三：技术和业务结合不够紧密隔行如隔山，业务部门与科技部门使用的是不同的语言，相互之间具有天然 的鸿沟，这是不足为奇的，但在银行业金融机构的it建设z路上必须尽可能地 缩小其至消除这种鸿沟。绝大多数的1t资源（应用系统、网络、主机等）不是 建设起来供科技

5、部门使用的，广大业务部门和员工才是it资源的真正用户，因 此他们应该深 入参与到it建设屮来。但是这种参与不可能自觉发生，需要-些 前提条件:1意识的建立。it不是魔术棒，不是简单告诉it人员需要什么系统，他们就可 以变一个完美的系统供你使用。你要对1t人员详细描述你对这个系统的需求， 后者才能将其转化为计算机程序。反之，it人员也不能对业务熟视无睹，不理 解用户的需求是无法开发出好的系统的。业务部门和科技部门可以建立定期的沟 通机制，甚至人员互换计划，促进相互了解和理解。2责任制的明确。可以考虑采取“谁使用谁受益，就谁负责”的原则，使系统使 用部门承担起牵头建设的责任。3. 成本和收益分摊、

6、系统后评估等机制的建立，才能促使该原则真正地有效。 it系统的建设和维护成木不能完全计算到科技部门头上，因为系统最终使用者 是业务部门，真正的用户为什么不承担使用成本呢？ it系统产生的收益（主要 是针对产品类和服务类it系统，例如理财管理系统、网银等）不能完全计算到 业务部门头上，因为系统的正常运行是由科技部门捉供保障的，服务捉供者的 贡献为什么被忽略了呢？差距四：科技管理制度和组织架构还需进一步完善制度是有一个框架的，从策略到标准到流程，逐步细化，越来越貝备操作性, 同时要覆盖所有的方而。1制度的制定不能只由科技部门完成，一开始就应将业务部门、风险管理部门、 审计部门加入，共同起草制度草案

7、，而不要等到初稿都写完了再来征求各方意见, 这样效率很低。2制度制定出來后不是摆设，必须严格执行，定期对执行效果进行审杳。3必须建立制度的跟踪、更新机制，否则会形成文档和实际操作两张皮的状况。4. 制度一定要全行公示，容易查看，否则员工的惰性容易造成不按制度规定的方 式做事。弟距五：人员少、专业化技术水平亟待提高1t人员配备数量、结构应该与自身对1t的期望、定位和建设模式相联系， 不能单纯追求某个比例，应该“按需进人”。例如it建设的高峰期，需要认真 考虑是招聘大量正式开发员工还是依靠外包公司提供，因为高峰期过后将进入 平稳发展期，对开发人员的需求将大幅度降低，如果前期招聘了大量自冇员工， 后

8、期的人力资源成本就非常巨大；而依靠外包公司在建设阶段提供专业人员， 不需要时可以随时减少购买的人工时数，非常灵活。对招聘人员的素质要求应该与口身的薪酬体系、机构所处地域的行业发展程度相 匹配。例如xxx地区就缺乏大量具备屮高等素质的it人才。如果木地人力资源 水平较低，可能就要考虑依靠外包公司提供专业人才。口身it人员的培养、继续学习与深造十分必要。因为银行相对是一个比较 封闭的环境，1t人员得到锻炼的广度与深度都冇限。需要建立持续的知识更新 与交流机制，使it人员不仅跟随技术的发展，同时也跟随业务的发展，例如每 年制定it员工培训计划。差距六：科技人才激励机制不健全it部门在行内属于服务支持

9、部门，不直接创收并口还是所谓的“成本中 心”，it又属于专业技术，所以对于it部门的考核机制不能与业务部门一样。 比如说xx银行的薪酬改革中对科技部和科技人员的考核机制就不完全合理。 针对it部门和员工的考核可以从内外两个途径來进行，内部不同部门z间相互 考核，例如开发部考核架构部、测试部考核开发部、运维部考核测试部；外部系 统使用部门考核科技部门。it部门作为服务提供者，应该接受服务对彖的评价, 双方的考核依据可以参考签订的服务水平协议。tt作为f1星月异的行业，提供对新技术的培训和学习机会是非常重要的激励方 式zo差距七：全行it风险意识淡薄，应急预案不健全it风险意识和文化需要自上而下地

10、建立，随着监管的不断加强，董事会和 高管层承担着越來越大的责任，这方面应该是逐步会得到改善。另一方面，董事 会和高管层必须向全行范围表明a己对it风险关注，并对风险管理提供足够的 支持，这样才能促使全行员工树立良好的意识。单纯召开固定的会议不足以表明 这种关注，因为普通员工本来就容易产生与高层的距离感。要敢于对应急预案进行演练，虽然演练木身具备风险。但即使演练吋发牛风险， 我们也是冇备而來的，相比意外的风险，更容易控制。不演练就无法检验应急处 理的技术、流程、人员素质是否有效，在面临真止的突发事件时就无法迅速恢 复。例iw xxx银行曾经在进行演练时就发生过ups电源损坏的情况，如果不演练 就无法及时发现该问题，真的遇到市电中断需要切换时，就会发现ups无法供 电。茅距八：运维管理经验不足，技术手段不完善可以考虑尽快实施1t1l项目，建立标准、规范、高效的运维流程、方法与 工具