新时代中小商业银行信息科技风险分析与建议,该文是商业银行方面有关本科毕业论文范文和风险分析和商业银行和新时代类在职研究生论文范文.
商业银行论文参考文献:
近年来,我国商业银行明显加快了信息科技引领创新、深化转型和落地应用的步伐.在金融科技(FinTech)应用创新和新技术层出不穷的新时代,新技术风险的暴露以及随之而来的攻击手段创新,给商业银行信息科技风险防范带来前所未有的压力和挑战.
一、中小商业银行金融科技应用面临的风险分析
1. 业务连续性和信息安全风险仍然广泛存在商业银行对新技术的应用和资源的投放,往往侧重于业务功能上的持续提升和优化.由于信息科技的治理架构、技术架构和运维模式的不断演化,中小银行潜在的新技术风险更加复杂.因此,银行信息科技工作的常态化风险仍然存在,需要高度重视.
一是业务连续性风险.机房、网络等基础设施建设薄弱和日常运行存在不稳定性,服务器、存储等硬件设备老化及性能容量不足导致的故障频发,应用软件的架构缺陷和容错性考虑不周,系统的业务连续性要求与高可用配置方案不匹配,每个风险点都可能影响银行业务系统运行的稳定性.因此,业务连续性风险必须高度重视和严防死守.
二是信息安全风险.一些中小银行存在信息安全管理体系不够健全、信息安全团队技术力量相对薄弱等问题,信息安全技术防控措施也通常处于初级阶段,但是面临的信息安全风险和外部攻击威胁却与大中型银行相似,在根基不固、篱笆不紧的情况下,信息安全管理体系建设和信息安全技术防控措施亟待加强.
2. 新技术的快速应用,引发新的风险和漏洞以人工智能、区块链、云计算、大数据为代表的金融科技,从诞生之初就蕴含着特定的风险.
(1)人工智能风险
目前,商业银行将人工智能技术应用于生物识别、智能投顾、智能、智能风控等方面,可能导致以下风险:一是数据集中导致的攻击和入侵后果更为严重,一旦攻击得手则可能引发海量的信息泄露;二是数据分布式存储于云端,导致对网络环境的重度依赖,易遭受攻击的威胁点增加,任何一个环节的脆弱性可能导致全网被攻击、数据被篡改或信息泄露;三是人工智能的广泛应用可能对同一个信息的反应产生叠加效应,从而引发“多米诺骨牌”式的系统性风险;四是由于人工智能行为主体的复杂性和特殊性,对具体行为的合理性判断、出现事故时的责任界定难度较大,制约风险处置措施的及时性和有效性.
(2)区块链技术风险
区块链应用包括票据贴现、联合贷款、供应链金融等业务,大多是局部试用,尚未推广到全辖、全领域的应用.区块链技术是以技术为基础,以去中心化、分布式、信任机制为主要特征的技术.但这些广为人知的优点,换一个角度看也是其脆弱点:
一是技术风险.如果加密机制被攻破,被攻击导致泄露或被撞库,或者加密算法本身可能存在不可靠性,就会破坏整个基础设施以及相关的应用.
二是去中心化风险.完全去中心化可能导致地下钱庄或洗钱等违法违规组织或行为脱离监管部门的掌控,进而可能严重影响经济秩序和社会稳定.
三是分布式架构的风险.区块链采用分布式技术,假若掌握全链51% 以上的计算力,则可以操控整条区块链,造成不可预估的损失,因此银行业需要加强对敏感信息和资产价值的保护.
四是信任问题.根据区块链技术的特点,规模越大效果越明显,也意味着信任成本越高.区块链里的参与方能否始终维护自身信用,相互之间保持彼此信任,对于区块链的可持续运行至关重要.为此,中小银行往往需要组成银行机构联盟链来扩大规模,但参与联盟的金融机构往往互相之间是竞争对手,对于信息的共享通常会有所保留.
(3)云计算技术风险
对于持有大量敏感信息和对业务连续性要求极高的银行机构来说,采用云计算服务特别是公有云服务,仍然存在不可规避的风险.
一是云计算服务引发的数据保密性、完整性和可用性问题.一方面,由于云服务商对软硬件环境具有掌控权,难以确保其不会获取客户信息;另一方面,客户信息的采集、处理、存储、传输、销毁等全生命周期的管理环节中,需要避免数据丢失、损坏和被篡改,确保不可用的数据正常销毁,否则会引发风险.
二是业务连续性问题.使用云计算服务的商业银行,其业务连续性将依赖云服务的管理有效性、基础设施和软硬件系统建设水平、团队责任心等.当系统发生故障时,如何快速应急处置,确保数据和业务的快速恢复,也是对云服务商的巨大考验.此外,由于用户及信息资源的高度集中及获利性提高,云平台遭受攻击、信息泄露的可能性上升.
三是对网络传输的依赖问题.如果网络运行不稳定,网络堵塞、网络中断的威胁时时存在,这就给云计算服务埋下了不可预知的风险隐患.
(4)大数据技术风险
对于中小银行来说,大数据在精准营销、风险管控、决策支持等方面得到了不同程度的落地实践, 但由于中小银行的客户基础相对薄弱,客户数据积累不多,需要借助外部机构丰富的、多维度的、实时性更高的数据,与行内数据相结合,进行客户画像、产品和服务营销、风险建模等.这类大数据的应用存在一定的风险,给中小银行的客户信息保护带来了新挑战.
一是数据的保密问题.大数据环境下,客户信息的共享和交易涉及很多的合作机构、众多经手人员,任何一个环节的安全保密、数据隔离或访问控制工作不到位,都有可能导致数据大面积泄露.而且,客户数据跨经营机构、跨业务流程、跨使用场景的情况比比皆是,一旦数据泄露,追踪溯源也很难.
二是数据的完整性、真实性问题.目前,大部分的数据提供机构普遍存在着数据不完整的问题,或者仅限于某个领域、行业的数据,或者数据之间缺乏关联性,或者分析的结果依赖于个别“专家”的经验和技能导致分析结果不准确.基于“垃圾进,垃圾出(Garbagein,Garbage out)”的原则,银行使用数据得出的判断可能失真,导致做出错误的决策.
三是数据的合规性问题.大数据应用是基于开放共享的理念而生,在外部数据采集方面,商业银行很难确保外部数据收集的合法性、合规性.
3. 新的业务模式引发新风险
金融科技大发展环境下,中小商业银行更多地与外部第三方平台合作,第三方平台可以提供整合场景、连接用户、引流获客等服务,从而弥补中小银行网点不足、品牌知名度不强、用户注意力吸引不够等问题,而且第三方平台的技术创新、用户分析和画像等能力,也可以弥补中小银行在技术上和实践上的短板.但是这种新的业务合作模式,也带来了新的风险.
一是在这种合作模式下,中小银行依赖第三方平台引流获客,导致银行屏蔽了与客户沟通的直接渠道,通过第三方平台线上传递的身份及认证信息进行客户识别,难以准确判断客户的真实意愿、交易目的,只能获取有限的交易场景,有悖于“了解你的客户”原则.
二是与第三方平台对接时的数据安全风险.由于第三方平台的信息安全保护的等级要求与中小银行存在一定差距,与互联网金融等第三方平台合作的业务模式,可能导致由于双方安全保护要求不一致而使整体服务的安全等级受到较弱一方的拖累,根据安全管理的“木桶效应”,综合的安全等级将被拉低.
三是由于业务流程和信息流转的企业增加,导致客户信息保护的难度增大.流转环节增多,意味着被攻击的突破点增多,系统暴露出的脆弱点增加,任一方都有可能被攻击,从而威胁整个网络中的数据安全.
4. 业务快速发展和系统快速迭代导致的性能支持能力下降、质量不可控风险
为了快速响应业务需求,敏捷开发、快速迭代成为中小银行科技转型的不二法宝,因此,其对金融科技新技术的应用也大多采用“拿来主义”.在这种市场变化快、开发交付快、版本迭代快、新技术应用快的背景下,中小银行的科技团队培养速度跟不上节奏,开发出的系统质量得不到保障,导致快速实现业务需求上线的代价是暂时牺牲运维和安全功能,并且存在需求考虑不充分、测试时间不充分而导致投产质量下降、性能支持不到位、客户体验得不到保障等问题,上线后故障频发,给后期的生产运行维护造成了很大的被动,对系统的稳定运行和业务的稳定发展造成了威胁.
5. 人员流动率高导致风险防控能力降低
一些中小银行面临薪酬水平不高和业内外人才竞争日趋激烈的挑战,存在专业化、复合型高端人才有效供给不足、技术人员流动性大、队伍稳定性差、人力资源缺口较大的短板,但面临的业务需求急迫程度和风险状况却相较大中型银行“有过之而无不及”,因此风险判断能力偏弱、风险防控措施偏弱、系统投产质量偏差、生产运行稳定性偏差,成为中小银行面临的难题.如何在资源有限的情况下把握安全和效益的平衡点,确保不出现重大风险,是中小银行亟待解决的问题.
6. 传统的信息科技风险管控手段跟不上新技术的变化
中小银行普遍部署了防病毒软件、防火墙、IPS/IDS、WAF 等安全相关的工具软件,以防范外部的攻击入侵.这些常见的传统安全防御手段主要针对传统业务、技术架构进行设计和部署.但是,在目前的金融科技环境下,新技术应用往往引入新的架构和新的业务模式,传统的安全手段逐渐显得捉襟见肘.一方面存在新技术引入的新风险,大量的新漏洞呈现集中爆发趋势,系统安全受到威胁,传统的风险管控手段无法满足防范新风险的要求;另一方面金融机构面临的外部攻击力量不断加大,而攻击方法和工具的进化速度或许会领先于防控平台的完善进度,所以传统的安全防范技术已经无法满中小银行的安全保障要求.
中小银行在资源有限的情况下,将大部分的资源优先投向支持业务发展的平台系统,在安全大数据平台、安全态势感知、安全情报分析、安全运营中心(SOC)等方面的投入力度跟不上,导致科技和业务面临的威胁呈指数级增加.
二、中小商业银行金融科技应用的风险防范策略
中小银行均在积极拥抱金融科技,以实现业务跨越式发展和“弯道超车”.在信息科技风险形势下,对于金融科技这把“双刃剑”,中小银行必须利用其优势来大力发展业务、提升客户体验,同时也必须采取各种措施以规避其中蕴藏的风险.
1. 建立完善信息科技治理和信息安全管理组织架构
对于任何企业来说,拥有一个好的治理结构,胜过一切其他要素.在金融科技时代,中小银行的信息科技风险防范同样需要从组织架构做起.
一是应成立高管层牵头的信息科技管理委员会和信息安全领导小组,可以每季度开会,对重要事项进行决策,确保资源到位、认识到位,从而能够自上而下地贯彻落实安全要求;二是要强化信息科技风险防范三道防线职责,三道防线各司其职、相互制约,坚持独立的汇报路线;三是要建立健全业务连续性组织体系,确保业务连续性影响分析、应急预案完备,应急演练和执行计划到位;四是要加快科技组织架构的转型,建立起更敏捷高效、更有客户意识的科技组织架构和技术队伍.
2. 注重人才培养,打造学习型组织,确保对新技术的掌控力和新风险的防范能力
金融科技时代,新理念、新技术层出不穷,新攻击趋向产业化,新漏洞出现常态化,行业同质化严重,竞争趋向白热化,任何因循守旧的传统企业,都可能面临被淘汰出局的风险.因此,必须打造学习型组织,提高员工学习意愿,才能保持源源不断的创新原动力,才能实现有效的风险防范,才能快速适应市场和未来发展的需要.
中小银行通过打造学习型组织,有利于提高对金融科技的自主掌控能力,也有利于提高对风险的预判和防控能力,既避免“看不见的风险”,又能从容应对“已看到的风险”.
3. 金融科技规划必须同步考虑风险防控规划
“凡事预则立,不预则废”,中小银行布局金融科技,应当避免成为追逐某些前沿科技的“技术控”,也不能成为盲目跟进其他同业技术和应用的“随大流者”,而是应该先制定清晰明确的战略规划和实施路径,然后在整体蓝图的引领下,向着金融科技的方向稳健迈进,这样才能有效防控和快速应对各类风险隐患.
金融科技的规划也没有好坏之分,适合本行业务战略、组织架构、资源投入、人员水平、科技能力、风险偏好等实际情况的科技规划就是最好的规划.中小银行应清醒地认识到自己的优劣势,保持战略定力,坚持自己的业务特色,坚持深耕本地经济、服务区域经济和实体经济的目标,而金融科技的应用必须围绕特色化和差异化的经营方向展开,无需过度追求技术创新或者前沿科技的应用.
金融科技规划的核心是转变技术架构的模式,将以往以产品、服务、业务流程为核心的技术架构,变革为以用户需求、端到端用户体验为核心的技术架构,增强技术架构的弹性和应变能力,以适应快速变化的市场需求.
金融科技规划必须同步考虑风险防控规划,将风险防控的管理和技术手段与金融科技的应用同步规划、同步设计、同步实施,方能保障新技术上线的同时,新的安全防控措施也实施到位.风险防范规划还需要从用户体验出发,围绕客户资产和信息安全开展风险分析和防控.
4. 持续加强业务连续性建设,保障系统稳定运行金融科技时代,数字银行是行业趋势,线上化服务成为银行业务的主流方式.特别是对于网点数量普遍较少的中小银行来说,线上渠道的重要性更为突出.部分银行已经实现90% 以上的电子银行交易替代率,客户对银行的第一触点已经由网点柜台转向了手机银行、网上银行、微信银行、直销银行等线上渠道.因此,系统运行的稳定性成为业务稳定、保持银行信誉的关键因素.
要保障业务连续性,需要从以下几个方面着手:一是切实做好重要信息系统的本地高可用建设.中小银行的信息化建设普遍起点偏低,基础架构不是非常牢靠,系统建设初期对于高可用建设的考虑很可能不够完善,因此必须从机房基础设施、网络、硬件、系统、应用、终端等层面做好单点风险排查,排除风险隐患.同时,需要做好重要信息系统30 分钟恢复的应急预案,加强日常的切换演练,确保在紧急情况下能切换、敢切换、成功切换.
二是加强数据中心容灾建设.这就需要先制定业务连续性计划,明确业务重点、业务优先级、业务恢复时间目标,推导出系统恢复优先级、系统恢复时间目标,然后开展科技系统的容灾方案设计和灾备中心建设.通过容灾建设,特别是银行业普遍开展的双活/ 多活数据中心建设,在一个数据中心发生故障时,另外一个数据中心可以直接无缝接管,实现对用户的不间断服务和故障“零感知”,保障用户体验.
三是开展标准化、自动化、智能化运维.中小银行的科技人员基数普遍不大,且运维人员占比普遍偏低,因此,必须加强运维能力建设以提高效率、降低操作风险,需要通过标准化夯实基础,通过自动化减少人工压力,通过智能化提升精度,从而实现运维水平的螺旋上升,提高业务连续性水平.
5. 防范新技术引发的新风险
针对金融科技新技术带来的新风险,应该分类采取不同的防范措施:
一是确定部分风险的接受程度.商业银行必须知晓采用新技术所需要承担的风险,同时做好业务应急预案和技术应急预案,确保在风险突发的时候可以从容应对.
二是严格遵守《网络安全法》等法律法规和监管要求,收集、使用客户信息.未经被收集者同意,不向第三方提供.
三是通过合作协议,加强对合作商在法律层面的约束.包括但不限于对数据完整性、真实性、合规性等方面的约束,对于数据分析、使用、存储等方面的限制,以及合作机构信息系统运维和网络安全防范的服务标准,各方需明确各自承担的职责和相应的违约责任.
四是通过制度流程约束合作商的行为.例如,在大数据和云计算服务的场景中,如果这些数据存储于合作商,就需要合作商针对商业银行的数据和云计算基础设施服务制定一整套的流程和制度,确保数据备份的有效性、加强数据访问的授权控制、杜绝数据被恶意篡改、确保退役数据的妥善保管或销毁等,提供符合金融监管要求、更高等级的服务.
五是在技术上加强防范,提高商业银行自身的网络、系统、应用层面的抗攻击能力,确保商业银行客户的信息系统和数据实现必要的隔离,保护数据和应用的安全,防止信息泄露、毁损、丢失.银行应对制定合作技术方案和接口方案的环节严格把关,要求合作商提升技术服务等级,从而提高整个合作链条的业务连续性和信息安全水平.
6. 利用安全大数据分析、人工智能等金融科技手段来保障安全
中小银行部署的传统安全防控工具(如防病毒软件、防火墙、IPS/IDS、WAF 等)大多是基于特征库的被动防御模式,无法适应金融科技时代对风险防范的要求,急需转型升级,大幅加强安全建设的投入力度,才能应对千变万化的安全威胁.
一是威胁情报分析.金融科技时代,中小银行及合作机构都面临着攻击的威胁,这些威胁通常具有攻击目标性强、持续时间长、经过精心准备和策划、攻击方法错综复杂等特点,经常会给金融科技产业链上的机构带来严重的危害.威胁情报分析不应采用传统的以被攻击者为研究对象的模式,而应以对攻击者的前瞻性研究为重点,并且具有同时适用于多个机构的特性.需要在全球范围内收集及分析活跃的信息,持续监控攻击者动态,了解其攻击的技术、工具和基础设施,然后采取全面精准的安全防护手段予以应对,从而实现对金融科技相关机构的共同防护.
二是安全态势感知与安全大数据分析.安全态势感知以安全大数据为基础,通过收集海量数据,并开展深度分析挖掘与深度学习,从而识别内外部的安全威胁,进行主动的风险防御.不管是传统的日志,还是各种安全设备、流量设备,甚至包括业务系统的行为日志,以及外部的威胁情报,都可以作为安全态势感知平台的“原料”,通过把这些不同形式、不同来源的数据进行汇总、加工、过滤,开展关联分析,从而发现大量数据中隐藏的蛛丝马迹,实现精准防御.
三是人工智能在信息安全体系中的应用.人工智能强大的数据挖掘和深度学习能力,有助于尽快发现攻击线索并自动防御,目前主要在应用程序中通过安全测试、恶意软件检测、漏洞测试、网络流量分析等功能来减少误报,进行终端保护等.虽然人工智能相关技术在信息安全防控中的应用还是处于比较初级的阶段,但未来会有广阔的发展前景.
7. 加强行业内、跨行业的协调与合作
一是在金融行业内共享经验、共享平台.中小银行独自的风险判断能力和风险防范能力比较弱,但如果通过联盟合作,就能少走弯路.因此需要走出去、多交流、多学习,实现借船出海,协作共赢;需要认真思考本行的独特优势与短板,充分借鉴先行者的经验或教训,一方面减少试错成本,另一方面发挥后发优势,助力创新发展.
二是跨行业的技术合作.中小银行科技人员数量少、质量不高的情况比较常见,需要加强与外部科技公司的合作,充分利用外部公司的技术能力和产品设计能力,实现快速部署,缩短开发周期,提高业务响应效率.同时,中小银行也要借鉴外部公司的运维支持和安全防范能力,以快速提高自身的信息科技风险防范水平.
相比客户数量大、数据积累多、系统基础牢、科技投入高的大型商业银行和股份制商业银行来说,城商行、农商行等中小商业银行的金融科技之路面临更大的风险,因此需要在布局和应用金融科技的同时,做好信息科技风险防范规划,加强自身风险防范能力建设,以便更准确地识别风险,更精准地应对风险,以适应不断变化的内外部环境.
总结,此文为适合不知如何写风险分析和商业银行和新时代方面的商业银行专业大学硕士和本科毕业论文以及关于商业银行论文开题报告范文和相关职称论文写作参考文献资料.
互联网金融时代商业银行竞争战略
摘要深入系统地探究商业银行竞争力命题,有利于在宏观层面与微观层面丰富银行理论和金融理论,更有利于推进企业管理理论与金融理论的融合创新 在此背景下,探究在互联网金融时代我国商业银行受到冲击时所应采取的战.
科技进入新时代
在中国第十九次全国代表大会召开前不到一个月的9月29日,世界首条量子通信干线—京沪干线正式开通 中国科学家结合“京沪干线”与“墨子号”的天地.
我国商业银行面临的风险与应对措施
基金山东自然科学基金青年项目市场模糊修正与随机赔偿评估下的存款保险定价研究(ZR2018GQ045);山东省软科学研究计划项目优化山东创新驱动金融环境对策研究科技金融融合视角(2018RKB0354).
谈银行信息科技业务的标准化管理
标准化可以通俗地理解为简单化、程序化、通用化、规范化、公开化和透明化,银行信息系统无论是软件开发、安全运维,还是IT 服务、内控管理都是非常有条理、有秩序的工作,通过制度规范协调全体员工步调一致,像工.