天津银行鲁士淳：防范IT风险机制重于技术

“银行经营货币，同时也是一个经营风险的企业，随着IT在银行的应用越来越深入广泛，IT风险已经直接影响到了银行的经营风险，但防范IT风险的重点并非技术，而是制度。”天津银行科技部总经理鲁士淳这样告诉中国信息主管网的记者。

天津银行于1996年正式成立，是天津市唯一的地方性，股份制商业银行。天津银行从2004年开始着手开展同城灾难备份中心的建设工作，目前已经形成了生产中心和同城灾难备份中心相结合的基础设施架构。回顾在同城灾难备份中心建设和实际运维中遇到的问题，鲁士淳认为相比技术手段和IT解决方案，建立长效机制可能是目前国内银行防范IT风险，构建业务连续性管理最为重要的一件事。

IT系统停机，不全怪技术

随着信息化的深入，各种组织的核心应用系统都己构架在IT平台之上，越来越多的政府、商业、教育等机构的业务正常运行离不开IT系统。尤其是银行金融业，更是依赖IT系统的正常运行。

相信不少人还记得， 06、07两年的中国股市大牛市中，因为A股交易量连续井喷造成多家证券公司出现“堵单”事件，使得股市交易一度无法持续正常进行。事故的发生除开脆弱的基础设施，缺乏科学有效的IT管理流程更是重要肇因。

目前，国内各大银行已经实现了数据大集中，而银行业务数据的集中，也意味着IT风险集中，因此银行IT系统的运营管理面临着更加严峻的挑战。当前，部分中国银行企业建立了内部统一的服务台，采购了OpenView、Unicenter、Tivoli、CiseoWorks等网络和系统管理工具，基本配置了对网络、主机的故障管理功能。

但技术只是基本防范措施，由于旧有体制、机制、文化、管理水平等因素制约，在IT管理的组织结构、管理流程和服务质量上与国外最佳实践相比还存在较大差距。这主要表现在IT部门内部的绩效管理较难实行，管理流程不完善、制度执行不够彻底、风险防范意识不强、对危机处理能力较差等问题在一定度上还普遍存在。国内许多组织不能建立有效的故障管理、变更管理、配置管理等IT服务管理流程，以致造成IT系统停机；

IT系统一旦停机，不仅组织的业务受到巨大损失，更重要的是声誉下降，从而丧失竞争优势，因此，业务连续性管理被列为银行治理、风险管理中极其重要的环节。

业务连续性管理5步骤

2006年l1月，银监会发布了《银行业金融机构信息系统风险管理指引》。银监会主席刘明康将信息科技导致的风险，列为银行业四大风险之一。在科技风险管理工作中，首次将“业务持续性规划的研究和制定”作为重点推出，进一步明确了业务连续性管理在银行治理与风险管理中的突出地位。

总结天津银行已经进行的同城灾难备份建设与未来的实际规划，鲁士淳认为商业银行的业务连续性管理体系建设可分为5个阶段：业务连续性管理整体规划；核心业务系统的业务连续性计划(BCP)建设；各前台业务部门、各业务网点和分支机构的BCP建设；后台应用系统和非关键业务系统的BCP建设；涵盖关联机构的全企业范围的业务连续性管理。

作为商业银行，如果能够按照这5步骤依次构建业务连续性管理体系，既可从IT系统的备份与灾难恢复上启动BCP建设，又可将业务连续性管理嵌入到银行的整体制度、组织和资源中，全面提高银行的风险防范能力。

从天津银行同城灾难备份中心建设的实际经验来看，商业银行信息科技部门作为支撑商业银行业务生产运行的服务部门，要服从行内统一的决策领导，充分理解商业银行决策层的风险防范考虑，从商业银行业务经营的角度出发，统筹规划商业银行的业务连续性建设。正所谓“统筹规划，分步实施”，放之四海而皆准。

不会引进国外核心系统

鲁士淳认为，既然机制是防范IT风险至关重要的因素，那么光从技术上换掉银行的“心脏”，即引进国外核心业务系统并非灵丹妙药。对于2007年后银行业全面开放，国外银行大举来华参与竞争，鲁士淳并不将之视为“洪水猛兽”。“我们现在没有受到多大的冲击，以后的形势也不会太严重。”鲁士淳显然对未来满有信心。     

事实上，国内有些银行并没有采购新的核心银行产品，其产品创新能力也有出众的表现，这种现象值得深思。在国外，也不是所有的先进银行都更换核心系统，这些银行大多将投资用于市场营销、客户管理、流程再造、产品管理、风险管理和IT治理等项目上。

可见，银行信息化发展的动力不只是信息应用平台的投资建设，软实力的增强也很重要。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。