喬悅懌

?

基于商業(yè)銀行操作風(fēng)險(xiǎn)下的信息安全研究

喬悅懌

摘要：銀行業(yè)的快速發(fā)展使得銀行面臨的風(fēng)險(xiǎn)越來(lái)越多，其中操作風(fēng)險(xiǎn)因貫穿整個(gè)銀行經(jīng)營(yíng)管理活動(dòng)的始終而備受重視。不僅如此，由操作風(fēng)險(xiǎn)引發(fā)的信息安全事件屢見(jiàn)不鮮，解決信息安全問(wèn)題迫在眉睫。在對(duì)操作風(fēng)險(xiǎn)有一定了解的基礎(chǔ)上，分析操作風(fēng)險(xiǎn)管理下的信息安全現(xiàn)狀，明確管理過(guò)程中存在的問(wèn)題。雖然國(guó)家和銀行采用了諸多方案來(lái)保護(hù)信息安全，但效果并不顯著。因此，必須以現(xiàn)有的信息安全管理措施為基礎(chǔ)，提出更為切實(shí)可行的信息安全保護(hù)方案，改善銀行管理環(huán)境，保證銀行經(jīng)營(yíng)活動(dòng)的安全穩(wěn)定運(yùn)行。

關(guān)鍵詞：銀行；操作風(fēng)險(xiǎn)；信息安全

一、引言

近年來(lái)，商業(yè)銀行的操作風(fēng)險(xiǎn)事件和信息安全事件相繼暴露，引起了社會(huì)的高度重視。越來(lái)越多的學(xué)者對(duì)操作風(fēng)險(xiǎn)及信息安全展開(kāi)研究，并提出相關(guān)解決方案，分析其原因，主要是由操作風(fēng)險(xiǎn)管理不善所致。操作風(fēng)險(xiǎn)主要是指由于銀行內(nèi)部的工作人員、軟件系統(tǒng)、內(nèi)部程序和外來(lái)因素所造成的失誤或錯(cuò)誤，從而引發(fā)操作性的風(fēng)險(xiǎn)事故，以致銀行遭受損失。操作風(fēng)險(xiǎn)具有顯著的人為性特征、突發(fā)性和直接損失性。

二、商業(yè)銀行操作風(fēng)險(xiǎn)下的信息安全現(xiàn)狀

信息安全主要面臨操作風(fēng)險(xiǎn)，技術(shù)風(fēng)險(xiǎn)和決策風(fēng)險(xiǎn)。其中操作風(fēng)險(xiǎn)是最復(fù)雜，最難以控制的。我國(guó)商業(yè)銀行操作風(fēng)險(xiǎn)下的信息安全現(xiàn)狀表現(xiàn)為以下幾點(diǎn)：

第一，信息安全意識(shí)薄弱?，F(xiàn)階段，不僅普通公民對(duì)自身的信息保護(hù)意識(shí)差，銀行的從業(yè)人員對(duì)信息安全的認(rèn)識(shí)也不高。因銀行過(guò)多強(qiáng)調(diào)對(duì)業(yè)務(wù)板塊的培訓(xùn)，卻放松甚至忽略了對(duì)員工風(fēng)險(xiǎn)意識(shí)的培養(yǎng)，造成員工在后期工作中因不重視風(fēng)險(xiǎn)防范而產(chǎn)生錯(cuò)誤，引起信息泄露。如：與友人聊天或在推銷理財(cái)產(chǎn)品時(shí)，無(wú)意泄露了客戶信息，或者以買賣信息來(lái)獲得經(jīng)濟(jì)利益，對(duì)信息安全造成威脅。

第二，缺乏維護(hù)銀行信息安全的復(fù)合型人才。從事理財(cái)?shù)穆殕T不懂技術(shù)知識(shí)，后臺(tái)維護(hù)的職員不了解金融知識(shí)，綜合性人才嚴(yán)重缺乏，在信息安全事件發(fā)生時(shí)，不能夠及時(shí)找出原因并迅速給出解決方案，增加了銀行的損失。

第三，系統(tǒng)設(shè)施不完善。由于“先入為主”的觀念，人們依然更傾向采用國(guó)外的產(chǎn)品，國(guó)內(nèi)軟件不受歡迎，我國(guó)銀行采用的諸多軟件都來(lái)自于其他國(guó)家，一旦該軟件存在缺陷或漏洞，我國(guó)不能在短時(shí)間內(nèi)識(shí)別。風(fēng)險(xiǎn)應(yīng)急機(jī)制不完善，也不能快速解決突如其來(lái)的風(fēng)險(xiǎn)。

第四，銀行信息安全的法律法規(guī)不完善，執(zhí)行力度不夠。銀行在經(jīng)營(yíng)活動(dòng)中，不僅受到內(nèi)部環(huán)境的影響，外部環(huán)境也對(duì)其有所限制。國(guó)家在強(qiáng)調(diào)完善信息安全法律法規(guī)的同時(shí)，卻忽略了對(duì)執(zhí)行過(guò)程的監(jiān)督，使得犯罪分子逃離國(guó)家的制裁，或者僅受到不相符的處罰。

銀行的信息安全關(guān)系重大，面對(duì)當(dāng)前現(xiàn)狀，銀行管理人員采納了重多方案，但效果并不明顯，依然存在問(wèn)題。要保證銀行的信息安全，就必須解決這些問(wèn)題，并提出更好的解決方案。

三、新的解決措施

銀行信息安全保護(hù)措施必須與銀行實(shí)際情況相符，并得到具體的落實(shí)。針對(duì)銀行面臨的現(xiàn)狀，本文提出以下幾個(gè)解決措施：

首先，解決由人為因素引發(fā)的操作風(fēng)險(xiǎn)下的信息安全問(wèn)題，主要采用以下幾個(gè)方法：

第一，開(kāi)展信息安全專題的講座。信息安全不僅關(guān)乎銀行，還與客戶利益息息相關(guān)，然而，對(duì)信息安全知識(shí)有較多了解的客戶并不多。因此，銀行要開(kāi)展相關(guān)的講座，給客戶講解信息安全的重要性，并號(hào)召客戶在辦理業(yè)務(wù)的時(shí)候主動(dòng)確認(rèn)業(yè)務(wù)信息的準(zhǔn)確性，提高客戶信息安全意識(shí)，如：在柜臺(tái)辦理業(yè)務(wù)時(shí)，仔細(xì)核查職員給出的信息核對(duì)單，若發(fā)現(xiàn)錯(cuò)誤，及時(shí)指出，將操作風(fēng)險(xiǎn)降至最低。銀行的信息安全需要客戶與銀行工作人員的共同協(xié)作和努力，員工引導(dǎo)客戶，客戶監(jiān)督員工，形成互補(bǔ)。

第二，采用操作責(zé)任制管理方案。員工的操作失誤不僅與其自身有關(guān)，也與上層管理者的管理方式有關(guān)。要減少員工操作失誤的可能性，不僅需要客戶的監(jiān)督，還需要上層管理者的督促。實(shí)行責(zé)任制，就是當(dāng)員工出現(xiàn)操作失誤或錯(cuò)誤的時(shí)候，員工和管理者都要為此負(fù)責(zé)，用制度給管理者施壓，讓管理者加強(qiáng)對(duì)員工的管理及培訓(xùn)，環(huán)環(huán)相扣，保證各個(gè)環(huán)節(jié)的操作安全。

第三，采用胡蘿卜加大棒的管理方案。對(duì)員工的管理不能僅靠懲罰或獎(jiǎng)勵(lì)單方面來(lái)完成，需要將二者結(jié)合起來(lái)，方能發(fā)揮最大功效。對(duì)有過(guò)錯(cuò)的員工要給予懲罰，如：罰款，公示。對(duì)表現(xiàn)良好者要給予獎(jiǎng)勵(lì)，如：獎(jiǎng)金、加薪、升職。將保護(hù)信息安全與員工切身利益掛鉤，用此方法激勵(lì)員工認(rèn)真對(duì)待工作，減少人為因素引起的操作風(fēng)險(xiǎn)。

其次，解決由系統(tǒng)因素引發(fā)的操作風(fēng)險(xiǎn)下的信息安全問(wèn)題，主要采用以下幾個(gè)方法：

第一，按期排查系統(tǒng)風(fēng)險(xiǎn)。我國(guó)銀行目前主要采用國(guó)外的先進(jìn)技術(shù)產(chǎn)品，但并沒(méi)有掌握其核心技術(shù)，對(duì)采用的系統(tǒng)是否存在安全隱患并不完全知曉。因此，銀行必須按期排查系統(tǒng)風(fēng)險(xiǎn)，及時(shí)發(fā)現(xiàn)設(shè)備故障，解除隱患，確保系統(tǒng)在一定時(shí)期的安全穩(wěn)定運(yùn)行。

第二，逐漸推廣國(guó)內(nèi)信息系統(tǒng)產(chǎn)品。國(guó)外產(chǎn)品雖然技術(shù)先進(jìn)，但終究不能掌握其核心技術(shù)，難以確保系統(tǒng)的安全。我國(guó)必須根據(jù)國(guó)內(nèi)的基本國(guó)情，研發(fā)出適合我國(guó)銀行使用的信息系統(tǒng)產(chǎn)品，逐漸用國(guó)內(nèi)產(chǎn)品替換國(guó)外產(chǎn)品，掌握系統(tǒng)核心技術(shù)，從而在系統(tǒng)的管理上能夠更加方便和完善。

最后，解決由外來(lái)因素引發(fā)的操作風(fēng)險(xiǎn)下的信息安全問(wèn)題，主要采用以下幾個(gè)方法：

第一，國(guó)家對(duì)做好信息安全工作的銀行給予獎(jiǎng)勵(lì)或表彰。銀行與銀行之間存在著各種各樣的競(jìng)爭(zhēng)，國(guó)家可以通過(guò)表彰來(lái)激勵(lì)銀行加強(qiáng)信息安全保護(hù)的決心，增強(qiáng)自身競(jìng)爭(zhēng)力及抵御風(fēng)險(xiǎn)的能力，以應(yīng)對(duì)一切不利的外來(lái)因素的攻擊。

第二，加強(qiáng)對(duì)法律法規(guī)執(zhí)行力度的監(jiān)督。僅有完善的法律法規(guī)制度是不足夠的，必須加強(qiáng)對(duì)其執(zhí)行力的監(jiān)督，讓犯罪分子得到應(yīng)有的懲戒，樹(shù)立國(guó)家法治制度的威信，對(duì)潛在的犯罪人員起到震懾作用，明確不法行為的后果，遏制不法分子對(duì)銀行系統(tǒng)的攻擊，為銀行安全運(yùn)營(yíng)創(chuàng)造良好的環(huán)境。

四、結(jié)語(yǔ)

在當(dāng)前信息安全事件頻繁發(fā)生的背景下，本文緊跟時(shí)代熱點(diǎn)，對(duì)引發(fā)信息安全事件的操作風(fēng)險(xiǎn)給予分析。首先介紹銀行操作風(fēng)險(xiǎn)的概念及特征，在此基礎(chǔ)上，進(jìn)一步分析我國(guó)銀行信息安全現(xiàn)狀，認(rèn)識(shí)商業(yè)銀行操作風(fēng)險(xiǎn)管理下的信息安全問(wèn)題。銀行采用了諸多保護(hù)信息安全的措施，但信息安全事件并沒(méi)有得到較好的遏制，本文對(duì)此進(jìn)行分析，找出問(wèn)題關(guān)鍵點(diǎn)，從各個(gè)方面提出銀行操作風(fēng)險(xiǎn)下信息安全管理的有效措施。操作風(fēng)險(xiǎn)最容易引起信息安全事件，而銀行的信息安全涉及多方面的利益，需要各個(gè)方面的共同努力，真正將管理方案落實(shí)到各個(gè)環(huán)節(jié)。(作者單位：中南財(cái)經(jīng)政法大學(xué)信息與安全工程學(xué)院)

參考文獻(xiàn):

[1]劉培強(qiáng)，馬海龍.淺談我國(guó)商業(yè)銀行操作風(fēng)險(xiǎn)及防范措施.時(shí)代金融(中旬)，2014(2).

[2]陳之瑜，淺談商業(yè)銀行操作風(fēng)險(xiǎn)管理.中國(guó)外資，2014(10).

[3]馬嵐.我國(guó)商業(yè)銀行操作風(fēng)險(xiǎn)控制與管理分析.商業(yè)經(jīng)濟(jì)，2014(6).

[4]范螢心.信息全球化時(shí)代下我國(guó)國(guó)家信息安全與國(guó)際關(guān)系研究.太平洋學(xué)報(bào)，2013.21(9).

[5]何苗.銀行信用卡犯罪類型及風(fēng)險(xiǎn)防范.時(shí)代金融(下旬)，2014(3).

[6]王磊.A銀行操作風(fēng)險(xiǎn)管理體系研究.山東大學(xué).2011.

[7]喬元昊，劉艷.重新認(rèn)識(shí)銀行信息安全的重要性.英國(guó)奧斯特大學(xué)商學(xué)院，2014(6).

[8]林婷.商業(yè)銀行信息安全管理——以花旗銀行為例.浙江工商大學(xué).2013.

[9]匡小飛.我國(guó)商業(yè)銀行信息安全的風(fēng)險(xiǎn)評(píng)估及控制.人行和田地區(qū)中心行.2014(11).

作者簡(jiǎn)介：?jiǎn)虗倯?1992.07-)，女，中南財(cái)經(jīng)政法大學(xué)在讀碩士研究生，管理學(xué)學(xué)位，研究方向：信息安全管理。