将新技术纳入风险防控体系

　　在这个竞争激烈的年代，银行必须通过不断的业务创新来发展自己的业务，那么对于现在不断发展的技术来说，是金融创新的辅助手段和工具，诸如：internet、3G、云计算、SOA等技术，这些新技术的应用给银行机构带来了业务的增长，同时也带来了相应的风险。我们应该采取积极创取，谨慎对待的态度。

　　银行是一个经营风险的机构，积极进取、稳健经营是一个银行机构经营的宗旨。科技创新带动业务创新也是新一代金融机构发展的另外一个口号和宗旨。故而银行机构在采用新技术时会积极并且稳健。

　　对于银行来说，既要对新技术的出现采取积极的态度和精神去跟进，同时也要通过不同纬度去审视新技术带来的安全隐患和风险。

　　我们认为，任何一项技术的采用和使用都是因其业务发展的需要。机遇永远与风险并存，故此我们建议在采用一项新技术之前要进行严格的风险评议，并且有相应的流程去审议这些新技术的采用。对于任何新技术的采用可以建立完整的风险防控机制，并纳入到风险防控体系中。

　　亡羊补牢，未为晚也

　　中小型金融机构信息系统众多环节都存在漏洞，在建设过程中因为没有统筹考虑，对于系统安全建设部分中的硬件设施、软件设计模块缺乏，造成诸如审计、保密、数据传输中的完整性、数据正确性、对外来攻击的预防等安全措施弱化或缺失。

　　对于中、小金融系统来说，在其IT系统建设过程中如果没有进行统筹考虑，只考虑了业务功能性要求，对风险和安全控制没有进行安排和规划，会导致目前的运行中出现各类相应的隐患和问题。

　　信息科技风险，是一个动态的过程，并且对信息科技风险的识别、管理和控制这样的过程也是一个动态的过程。所谓“亡羊补牢，未为晚也，”对于信息科技风险管理是一个非常明智的选择。

　　前文我们说过了信息科技风险管理的目的和宗旨，在这里我想说的是，信息科技风险管理对于金融机构不分大小，也不分先进和落后，对于任何一个金融机构都适用，只不过因为中、小金融机构由于人才储备少、建设经验缺乏不能着急独立完成信息科技风险管理体系的建设，而是采用外部专业机构来辅助完成而已。如工商银行、建设银行及兴业银行、厦门银行等。

　　对此，我们认为中、小金融机构现在应审时度势，跟进自己的业务特点，结合行业的标杆经验，聘请有经验的外部机构，尽早地搭建适合其业务发展特征的风险管理体系。

　　变被动为主动

　　目前网上攻击以黑客窃取核心数据为目的，在数据越来越重要的今天，网上安全日益严峻。面对日益猖獗的网络攻击，银行在发展其网银业务的同时，更加不应该放松的是网银风险防控。

　　我们认为应该积极主动建立健全网银风险防控(安全)措施，从风险威胁源、路径和目标做好相应的措施和流程。

　　IT系统基架于网络上就变成网络应用，网银系统正是这样的一个系统。对于任何一个网络应用都是端对端的应用，那么对于安全问题也同样演变成一个端对端的问题，故而我们在思考网银安全的时候，不仅考虑到客户端和服务端的安全问题，更要全面的思考，其中包括：客户端、服务器端和整个的传输路径等方面。

　　针对网银安全，人民银行于2009年下发了19#文件，着重强调了网银各个环节的安全策略及控制措施。在此，我们强调指出，各家金融机构不应该只满足《网上银行系统信息安全通用规范 》的基本要求，建议具有居安思危的意识和理念，满足《网上银行系统信息安全通用规范》增强性要求和更高的标准，同时也应该做好网银风险的拨备。值得注意的是不仅要被动应对安全检查，也要加强主动防范意识来应对来自网络的攻击。

(责任编辑：)