【三个转变是什么】三个转变提升银行信息科技治理能力

近来，移动支付、互联网金融、云计算等创新模式在银行业的应用方兴未艾，信息技术驱动业务创新越来越成为银行创新的趋势，信息技术已经从支持保障角色，转变为银行价值创造的重要组成部分。但与此同时，互联网技术应用的快速发展及互联网金融等新兴模式的出现，对商业银行的科技创新机制形成巨大挑战，银行转型迫在眉睫。2014年12月举办的 中国银行业信息科技风险管理2014年会暨银行业信息科技风险高层指导委员会全体会议 要求，银行业要处理好安全与自主、替代与转型、风险与创新的关系，做好顶层设计，实现 从封闭向开放、从粗放向精细、从失衡向平衡 三个转变，提升信息科技治理能力。

　　力推自主可控

　　银行业自2012年提出 自主可控、持续发展、科技创新 三大战略以来，力推科技创新，助推发展转型。

　　制定整体发展战略。2014年，银监会对银行业关键信息和网络基础设施开展了安全评估，并向国务院报送专题报告。报告深入分析银行业自主可控信息技术的应用现状和存在的问题，提出了银行业应用自主可控信息技术推进网络和信息安全的总体工作思路和措施。

　　加强政策引导。《关于应用安全可控信息技术加强银行业网络安全与信息化建设的指导意见》（银监发[2014]39号），作为促进国产信息技术落地银行业的中长期政策和规划，提出2019年银行业应用安全可控信息技术总体比率达到75%的目标。同时，正在研究制定具体的推进指南，进一步细化工作目标和工作要求。

　　推进 自主可控 战略应用落地。组织银行业金融机构、信息技术企业和高校等成立银行业应用安全可控信息技术创新战略联盟，围绕国产信息技术应用落地的关键问题，开展技术合作，实施技术转移，加速科技成果运用。依托战略联盟，组建技术实验室，针对推进过程中遇到的问题和困难，集中人力、物力开展专题攻关，解决共性问题，提供解决方案，促进技术创新。逐年制定银行业应用安全可控信息技术推进指南，对推进领域、重点信息技术和产品以及推进方案、评价指标和计算方法予以细化。组织开展银行业应用安全可控信息技术应用示范项目。通过应用示范，为安全可控信息技术在银行业应用落地树立典范，提供成功案例和经验。

　　构建 自主可控 的良好生态环境。核心技术自主可控是实现信息安全的根本保障，银监会制定政策，构建银行业应用安全可控信息技术的长效机制，建立推进平台，大力推广使用能够满足银行业信息安全需求且技术风险、外包风险和供应链风险可控的信息技术；发挥市场作用，推动银行业金融机构加快建立高效的创新体系，激发各类创新主体的积极性，推动信息化创新发展；在统筹规划的基础上，加强政、产、学、研的协同合作，营造安全可控信息技术研发、发展和应用的良好生态环境。

　　自主可控建设的成效

　　自主可控工作进程加快。银监会大力推动银行业信息科技自主可控进程，持续监测、重点推进。根据监测，全可控小型机在银行关键应用系统取得突破，网络设备、PC服务器占比翻番，网络设备占比超过50%，安全可控的文字处理软件普及速度加快。更重要的是，部分银行敢于打破常规，积极探索使用新的架构和解决方案，通过架构转型为使用安全可控信息技术留出空间、铺平道路。

　　科技创新步伐加大。2014年，科技创新给银行带来新气象。一是产品创新，银行机构在理财、信用卡、小微企业信贷业务方面推陈出新，新产品层出不穷，创新速度加快；二是服务创新，银行机构积极布局移动互联网渠道，探索线上线下相结合的金融服务，支付方式更加多样化，这些创新拓展了客户群体，改善了客户体验，为业务发展提供了新的增长点；三是风险管理创新，银行积极探索使用大数据等新兴技术，挖掘数据潜力，改进客户评级，优化内审系统，加强风险监控，提升预警能力，风险管理的及时性、准确性、有效性提升明显。银监会自主研发的EAST检查发现系统，在建立监管数据标准的同时，促进了银行机构的数据治理工作，体现了创新、监管和服务的综合效能。

　　重点风险领域管控力度得到加强。2014年银监会印发了《关于进一步加强银行业金融机构非驻场集中式外包风险管理的通知》（以下简称《外包风险管理通知》），从防范系统性、全局性风险角度，对集中承担信息科技外包的机构，提出了强化的风险管理要求，正在研究并即将出台操作细则；充分发挥银行业信息科技外包联合监管平台和外包自律组织作用，开展专项治理和检查，促进行业信息科技外包风险管控水平的提升。业务连续性方面，各银行机构业务连续性管理体系建设初见成效，特别是 真演实练 的覆盖率和频率明显提升。在网银安全风险防范方面，创新的技术防护手段和管理措施相互配合，初步形成了立体化的防御体系。

　　自主可控建设面临的挑战

　　当前银行业信息科技领域面临的挑战非常艰巨，在网络化的环境下，核心技术受制于人、安全威胁加剧等系统性风险将长期存在。在2014年信息科技突发事件中，存在固有的产品及技术风险，但不可否认银行业网络安全和信息化建设还存在诸多 内忧外患 ：内忧主要表现在信息科技治理机制还不顺畅，业务与科技 两张皮 现象依然普遍，信息科技管理 重建设、轻管理，重开发、轻运维 不平衡的问题依然没有根本改观。外患主要表现在互联网技术应用的快速发展及互联网金融等新兴模式的出现，对商业银行的科技创新机制形成巨大挑战。下一步如何调整，如何有效地保障银行业网络信息安全，提升信息化建设水平，关键是要处理好三个方面的关系。

　　安全与自主的关系。不能把安全和自主对立起来。尽管很多自主技术还需要进一步改进和提升，但银行不能妄自菲薄。只有自主可控，才能真正掌握安全的螺旋上升通道。自主可控就是最大的安全，二者是统一的。银行业应当鼓励和参与自主创新，这不仅仅是承担社会责任，更关系到银行业未来的发展和转型。对于坚持推动自主可控的银行，监管部门将予以一定的监管激励，不仅在信息科技监管评级中加分，还可以适当调整信息科技风险的监管容忍度。

　　替代与转型的关系。推进自主可控，要避免简单替代的误区。简单替代永远只能是跟随者。自主可控战略的实施，给了中国银行业一个弯道超车跨越式发展的契机。银行要抓住机遇，通过提升科技工作水平，从而带动业务转型。

　　风险与创新的关系。无论是传统金融还是互联网金融，都以信息科技作为核心创新手段之一，都以更好的金融服务作为核心目标。银行积极支持并鼓励新技术、新产品的开发和运用，但应严守防范和化解风险的底线。在创新的同时，防范风险的管理机制应同步推进，董事会、监事会、高管层及相关工作人员认真履职，风险管理、内部审计两道防线要真正起到实效，制度、规范要更新完善，创新不能无序，亡羊补牢的做法在新的环境之下不可取。

　　外包风险管理

　　银行业与现代信息科技的融合程度不断加深，受制于银行自身技术能力、成本、效率等因素，信息科技外包成为银行业信息化建设的重要模式，外包依赖度和集中度较高，特别是中小银行机构因技术积累薄弱、人员和能力有限，基于成本和周期等因素考虑，普遍选择非驻场外包模式。随着银行业信息科技外包业务发展，非驻场外包规模持续增加，外包系统性风险不断增大。

　　与其他外包模式不同，非驻场式集中式外包主要依赖于外包服务商的一体化的打包服务，具有内容集成度高、资源共享程度高、服务商独立性强以及服务机构性质多样等特点。

　　风险高度集中

　　在非驻场集中式外包模式中，银行业主要信息科技活动都交由外包服务商承担，银行无需自行建设和维护系统，内容集成度高。内容的高度集成必然导致风险的高度集中。同时，一家外包服务商往往为多家银行业金融机构提供服务。随着虚拟化技术和云计算的发展，这些高集中度风险的影响面将更大，传导的速度也将更快，也更容易演化成系统性、全局性的风险。近年来已经发生多起具有集中度风险特点的信息科技事件，引起业内的广泛关注。

　　监管检查空白

　　虽然国外监管机构对于类似非驻场集中式外包模式的信息科技风险监管已经相当普及，但在国内，目前监管部门仅在银行业金融机构出现相关问题或者风险事件时，才进行相关检查。这种被动的事后行为直接导致系统性防控措施无法到位，系统性、全局性风险发生的几率大增。

　　风险控制薄弱

　　信息科技非驻场集中式外包服务机构分为银行类机构和社会类机构两种。对于银行类机构来说，其自设立之初就受到银监会的监管，其风险管控依从的是银行业的相关法律法规。而很多社会类机构的本质是IT类企业，因此无法受到银监会的直接监管，其风险管控往往达不到金融级的监管要求。同时，大量中小银行依赖于此类机构提供外包服务，涉及面更广，对银行业信息安全的影响也较大。

　　守住不发生系统性、全局性风险的底线，保持信息系统稳定运行，是非驻场集中式外包风险管控的重点工作之一。为此，针对非驻场集中式外包服务存在的突出问题，《外包风险管理通知》从防范系统性、全局性风险的角度，对集中承担银行信息科技活动的外包服务机构，提出了强化风险管理的要求。一方面，督促银行业金融机构健全外包管理机制，加强过程控制和对外包服务机构的风险约束，完善外包应急预案，保障在突发事件情况下的运营秩序；另一方面，推动外包服务机构强化风险责任意识，积极采取技术和管理规范化措施，提高安全服务水平。

　　此外，银监会创新工作机制，提出了外包服务机构主动申请评估的监管思路，按照自愿原则，将外包服务机构纳入监管部门的风险监管评估范畴，开展常态化风险分析、现场评估和风险处置工作，制订对外包服务机构开展风险监管评估工作的具体实施细则，加强外包系统性风险防范；充分发挥银行业信息科技外包联合监管平台和外包自律组织的作用，通过外包服务机构的自我约束和自我完善，推动银行业信息科技外包服务市场规范化和行业自律，加强正面引导，促进发展和交流，共同防范风险。2014年，银监会还开展了银行业信息科技非驻场集中式外包专项治理工作，要求银行业金融机构全面自查整改，摸清风险底数，推动整体外包风险防范和外包管理水平的提升。

　　银行业信息技术发展战略

　　随着互联网日益成为创新驱动发展的力量，银行业经营发展的外部环境正在发生着深刻变化，虚拟社会与现实社会相互融合，互联网与经济相互融合，这其中有碰撞，也有火花，有挑战，但机遇更大。能否抓住机遇，推动银行业在信息技术引领的变革中顺利转型，银行业要切实做好顶层设计，加强战略谋划，实现一个提升和三个转变。

　　提升信息科技治理能力现代化水平。信息科技与社会经济融合是大势所趋，但是真正做到相互融合，协调发展，还需要从治理层面下功夫。首先，认清规律。虽然都在银行体系内，但银行的金融业务和科技活动其实是两个行当，有不同的规律，认识、掌握并尊重彼此的规律，业务和科技才能更好地协作。董事会、高管层应起示范作用，重点是敦促业务部门加强对科技活动规律的认识和理解。其次，注重建立开放弹性的企业架构、加强业务和科技的融合、保障合理的人财物投入，形成合力提升信息科技治理能力。第三，落实首席信息官制度，首席信息官要参与决策，在决策层面为业务和科技的融合架起桥梁。董事会中也应尽可能安排了解信息科技的董事。第四，加大复合型人才的培养力度，加强业务人员和科技人员的交流，形成顺畅的沟通和协作机制。银行机构应善于认识和遵循规律，抓住时机，顺势而为，从根本上解决银行业务和科技 两张皮 的问题，推动业务和科技的真正融合。

　　从封闭向开放转变。当前的技术环境已经发生了深刻变化，信息化建设的思路和心态也应随之转变。开放是实现自主可控的关键道路，银行机构应积极运用新技术，以开放、弹性、安全、高效为目标，规划和设计新的解决方案。努力打造信息科技核心竞争力，培养人才，避免固步自封和生搬硬套，切实做到自主掌握核心知识和关键技术。以开放共赢为合作原则，既要把握话语权和主动权，也要实现优势互补、合作共赢。

　　从粗放向精细转变。把握信息科技工作的规律是实现银行业科技转型的关键。细节决定成败，应重点关注四个体系建设的精细化：业务连续性管理体系，重点解决片面依赖科技的问题，提升业务参与度。信息系统开发体系，抓好研发过程中的风险和质量管控，解决系统先天不足问题。运维管理体系，重点抓好投产变更的风险控制，提升运维的透明度和自动化水平，不留死角。信息安全管理体系，从单一的安全管理过渡到基于风险的立体防范体系，重点加强风险感和响应的动态性。

　　从失衡向平衡转变。银行业信息化建设中不平衡、不协调的矛盾还很多， 两重两轻 问题依然普遍，要实现平衡发展，首先加强科技工作的整体规划，从战略、管理、技术等各方面努力消除不平衡现象，建立规划与日常工作的联动机制，增强规划的指导性、实用性，千万别拿规划当摆设；其次，建立科学的绩效考评和分配机制，切实考虑科技和业务发展的匹配度，实现业务与信息科技的联动考核；最后，要遵循科技活动的内在规律，建立多层次，立体化的信息科技管理体系，提升信息科技工作的内在发展质量。

　　当前的银行业信息化工作，机遇和挑战并存，挑战固然不小，但机遇更为可贵，银行如果能够把握好、运用好信息科技变革浪潮的机遇，形成竞争优势，将提升银行业信息科技治理能力现代化水平，夯实银行业网络安全基础，促进银行业信息化水平再上新台阶。