郭利根：中国银行业信息化建设与风险监管

　　2008年9月25-27日，第九届中国金融发展论坛在北京展览馆隆重举行。“中国金融业改革开放三十年——成绩和未来”专题邀请了中国人民银行、银监会、证监会、保监会、社科院金融研究所领导、专家从中国金融业改革开放三十年历程与发展趋势、资本市场的改革与发展、保险业改革发展和对外开放、打造全方位金融后台服务体系等进行全面分析和深入探讨。以下是中国银行业监督管理委员会副主席郭利根的精彩演讲。

　　女士们、先生们：

　　大家下午好！

　　今天，我们齐聚一堂，回顾三十年金融业改革的巨大成就，共商发展大计，这是金融界的一件盛事。刚才，苏宁行长做了非常精彩的演讲。下面，我就我国银行业的信息化建设与风险监管谈点看法：

　　我国银行业是最早将信息技术引入业务管理的行业之一。从上世纪70年代末开始，银行的储蓄、对公业务等逐渐以计算机处理代替手工操作，标志着银行信息化的开始。进入80年代，我国开始大规模引进计算机技术，银行业率先广泛使用计算机系统，大大提高了业务处理水平。

90年代以后，银行业建立起一批网络系统，实现了全国范围的计算机联网，通过数据中心处理业务数据，人们的切身感受通存通兑带来的方便快捷。随着新世纪的到来，银行业开始大规模进行从网络基础设施、业务系统到管理信息系统的集中处理，利用互联网技术与环境，加快金融创新，逐步开拓包括网上银行、网上支付的网上金融服务，逐步形成了一个开放的多功能金融电子化体系。今年，我国银行业的信息系统经历了年初雪灾和５月份四川大地震的考验，在奥运会和残奥会期间保持了安全稳定并提供了顺畅的金融服务，这些充分说明了我国银行业信息系统建设的能力水平有了明显的提升。

　　信息化有力地支持了我国金融业的改革和发展，推动了整个社会的现代化进程。但与国外发达国家相比，仍然存在很大的差距。一是IT治理不完善，银行高管层对信息科技建设及风险管控的重视和研究不够，决策和监督机制缺位。二是信息科技战略规划不明晰，缺乏连贯性，规划布局不尽合理。三是信息化建设滞后于银行业务发展，银行信息系统平台千差万别，内部应用系统难以实现信息共享，对数据的分析和利用难以满足“以客户为中心”经营模式的需要。四是软硬件及核心技术受制于人，对系统安全造成隐患，甚至可能危及银行业的健康发展。

　　信息科技与银行业务高度融合，已成为银行业打造核心竞争力的重要手段。然而，水能载舟，也能覆舟。不久前发生的法国兴业银行事件，由于欺诈交易导致了巨额损失，一个重要原因就是银行资金交易系统的应用控制存在严重缺陷。这是一个典型的信息系统风险案例，值得我们认真反思。正是由于银行业对信息科技的高度依赖，信息科技风险已经成为影响银行业稳健发展的关键因素。如何化不利为有利，有效的管控好信息科技风险并使现代化的信息科技更好地服务于银行业的发展，成为我们银行业金融机构和监管部门必须面对的重要课题，需要我们共同做出不懈的努力。

　　对银行来讲：一是要将信息科技战略规划纳入银行的总体发展战略。各银行应从银行的战略目标和市场定位出发，做好信息科技战略规划的研究。制定涵盖业务系统、管理系统、服务渠道、IT基础架构和基础设施，以及科技管理体系和科技人才体系的总体规划，保证信息科技战略规划与业务发展、风险防控战略高度一致。

　　二是要统一技术与应用的标准。当前各银行的大多数业务系统的开发建设模式，不仅建设成本高、开发周期长、运行维护难，而且无法满足市场应变的需求。根本的解决途径就是加快标准化工作。只有建立科学规范的标准体系，才能有效降低系统的复杂性和管理难度，提升银行信息科技应用的前瞻性和主动性，也才能更好地规范系统开发、运行和维护升级，提高应变能力和运营效率。

　　三是要充分发挥信息化在银行风险管理中的作用。信息化既是促进金融创新，推动银行业发展的一个重要支撑手段，也是管理和防范风险，保障金融稳定的重要工具。我国的银行业普遍投入大量资源建立了比较先进的业务系统，但是风险管理系统的建设还比较薄弱。一个完善的风险管理系统，可以帮助银行将风险控制关口前移，有效识别和控制风险，建立起全面的风险控制体系。

　　四是要进一步提高信息科技风险防控能力。近年来，银行高管层已经逐步将信息科技风险管控工作摆上了议事日程，但还远远不够。从目前情况看，银行信息科技风险管理远远滞后于信息系统建设的步伐。各银行必须要强化董事会和高管层的管理责任，进一步健全IT 治理结构，建立全面的风险管理体系，把以技术防范为主的、被动信息安全管理，转变为以预防控制为主的、主动信息科技风险管理。

　　五是要加强科技队伍的建设。随着业务创新的日新月异，银行的信息系统建设与业务发展将结合的越来越紧密。系统安全、高效和快捷的要求，决定了信息科技部门必须拥有科技开发、项目管理、安全防范等不同专长的尖端科技人员，打造一支既懂业务又懂信息科技应用管理的复合型人才队伍，实现科技发展和风险管控的齐头并进。

　　对监管部门来讲：一是要借助信息科技有效提升监管能力。银行业务处理的信息化必然要求监管手段实现信息化。可靠的非现场监管信息系统和现场检查系统，能有效帮助监管部门及时监测和识别主要风险点，提高现场检查和非现场监管的整体性和有效性，减少仅仅依靠人工现场检查造成的随意性和盲目性，有助于提升监管能力，节约监管资源。

　　二是要持续开展信息科技风险监管。各级监管部门应把信息科技风险纳入对银行整体的风险监管体系，开展持续的现场检查和非现场监管。对银行的监管报告应涵盖信息科技建设及风险管控情况，并按照有关制度标准提出监管要求。对信息科技风险隐患大、管理基础薄弱、发生故障影响面广的机构，要作为监管重点，视问题严重程度，采取包括限制或暂停其相关业务的处理措施。

　　三是加快完善法规体系。我国在银行信息化管理上，相关的准入、退出、安全管理等监管法律法规还很不健全，缺乏信息科技高管人员的任职资格管理规定、数据处理中心的布局和管理规范、外包管理制度、信息安全管理规范等等。这些都要求监管部门进一步加强调查研究，尽快建立和完善。

　　总之，随着信息化时代的来临，银行的信息化步伐将不断加快，一方面将进一步促进我国银行业不断提高创新能力和综合实力，另一方面，需要我们银行界的全体同仁共同努力，抢占信息科技的高地，切实管控好风险，推动我国银行业又好又快发展。

　　谢谢大家。