中小銀行資訊科技日常管理中存在的問題
一、現狀與問題
(一)對資訊科技風險認識不到位,管理體系不完善
以村鎮銀行為例,其資訊科技風險管理水平還處在風險管理的初級階段。有些村鎮銀行雖然制定了發展戰略,但缺乏與業務發展戰略相一致的資訊科技發展戰略,同樣也缺乏資訊科技風險戰略來指導資訊科技風險管控工作,資訊科技風險管理尚未納入全面的風險管理體系。首先是資訊科技風險認識上不到位。在作為小銀行的村鎮銀行中普遍存在著一些問題,例如對資訊科技風險瞭解的不夠細緻,對資訊科技風險管理相對薄弱,資訊科技的風險管理缺乏業務、風險管理、內部審計等部門甚至更高階管理層的有力支援。其次,資訊科技管理體系不完善。大部分村鎮銀行雖然制定了相關的資訊科技管理制度,但制度建設、人員管理、崗位設定缺少整體的風險管理概念,缺少完整的資訊科技安全管理體系。
(二)科技投入水平普遍較低
目前,中小商業銀行的科技收入整體能力偏低。科技投入主要包括專案建設費用、日常執行維護費用、科技人員成本、其他費用等專案。以村鎮銀行為例,很大數量的村鎮銀行尚未自行開發業務系統,多是租用發起行的業務系統。這部分村鎮銀行從本質上可以看作是發起行的一個支行,業務系統運維的重頭戲一般都由發起行資訊科技部來實施。同時村鎮銀行高階管理層對科技的重視程度不夠,資訊科技的投入佔運營成本的比重較小,大多在2%以下,該資金份額難以完全滿足業務系統執行的維護需要,導致村鎮銀行部分硬體投入不足,常用易損裝置備份不足,一些重要裝置達不到雙機熱備的要求,出現裝置損壞無備用裝置,無法及時更換,影響正常業務開展的問題。更有一部分硬體裝置超壽命執行,做不到及時更換,給資訊系統的後期維護帶來較大的負擔,在銀行業務開展的同時也暴露出較大的資訊科技風險。
(三)科技隊伍建設嚴重滯後,人才儲備不足
資訊科技發展的核心是科技人才,銀行的資訊化建設和發展離不開科技人員的支援。據統計先進銀行科技人員平均佔銀行總人數的比例為3%—4%。然而對於現階段的村鎮銀行而言,資訊科技人員的配比卻嚴重偏低,人員配備嚴重不足,存在著較大的人員缺口,從這個角度來看,農村金融機構的資訊化能力不足與資訊科技人員不足有著必然的聯絡。現實的情況不免讓人感到憂慮,無法滿足科技管理的整體要求。
除了科技人員配備不足外,村鎮銀行的科技人員專業程度偏低,專業技能素質普遍不高,缺乏相應的技能培訓和專案實踐。由於人員不足和崗位設定的不合理,存在著非全職科技人員,科技人員身兼它職,身兼數職的現象,導致了科技人員的勞動強度增大,無法專注於日常的資訊科技工作管理,難以對一些新的技術知識進行學習,長此以往導致了科技人員的工作能力下降。
同時一些村鎮銀行還存在著科技人員職責定位不明確的問題。就村鎮銀行而言,科技人員的職責主要包括幾點:一是對銀行業務系統的穩定執行提供運維保障。二是負責本行計算機裝置、網路裝置及其附屬裝置的安裝除錯、維護和調配工作,定期或不定期檢查裝置的管理和使用情況。但由於部分村鎮銀行科技人員職責不明確,造成了科技人員成了“萬能工”。只要是銀行業務開展所需的裝置出現問題,即使是超出科技人員職能之外,
員工第一時間冒出的想法都是“找科技”。這種情況大大耗費了科技人員的工作精力,導致對科技本職範疇內的各項工作帶來了很大影響,鉗制了科技工作的開展的質量和效率。
二、對策與建議
(一)強化資訊科技風險管理,提升風險抵禦能力
1、以滿足業務需求為目標,切實加強資訊科技風險管理。
作為小銀行的村鎮銀行雖“起步晚,底子薄”,資訊化建設“先天不足”與先進商業銀行存在很大差距,但一旦出現風險,造成的影響卻並不比先進商業銀行小。所以,村鎮銀行在資訊科技風險管理上應該像先進的商業銀行看齊,強化資訊科技風險防範,建立有效風險防控體系,推進資訊科技風險管理與先進水平接軌,著力提升資訊保安保障能力。在指導原則方面將資訊科技風險管理納入銀行全面風險管理體系當中,貫穿於銀行各個經營領域,做到資訊科技風險管理“不掉隊”。同時提升資訊保安管理水平,保障資訊系統安全、穩定執行。逐步建立起資訊科技風險管控的日常化、流程化、持續化機制。
2、建立資訊科技風險監測體系。作為小銀行的村鎮銀行應
結合自身業務發展建立直接、高效的資訊科技風險監測體系,做到及時識別風險因素,排查隱患,徹查風險問題根源。要將資訊科技風險控制前移,做到防患於未然。要將風險管控貫穿於銀行業務的整個過程,加強跟蹤控制。要有“剩餘憂患,死於安樂”的風險意識,做到“常摸底,勤過腦”,要在準確瞭解自身資訊科技實際情況,在充分分析資訊科技方面可能出現的風險對銀行業務影響的基礎上,建立良好的風險分類分級制度,實施重點監控。同時進一步完善風險報告機制,加強資訊科技部門與業務管理部門、高階管理層以及監管機構之間的溝通協調。
3、強化運維體系建設,提升系統服務水平。要進一步完善運維管理流程,健全運維管理制度和標準,確保配置足夠的人力、物力、財力來維持安全、穩定的資訊科技環境,提升資訊科技運維保障能力。在高度上做好管理流程整合,在深度上做好業務流程分解,強化事件分級制度,建立起一個有效的事件分級及響應機制,加強對業務連續性的管理,保障金融服務持續穩定。
(二)加大科技投入,提高資訊科技發展水平
1、加大科技隊伍建設投入。在科技人員需求缺口較大的情況下,主動面向社會招聘專業技能過硬,實踐經驗豐富的科技人員,及時充實現有的資訊科技力量;積極組織針對科技人員的外部專業技術培訓,或聘請專業的技術人員對科技人員進行必要的內部培訓,使科技人員的專業知識和技能能夠及時得到補充和更新,做到在新技術、新知識面前不落伍,能夠及時的瞭解和掌握。
2、增加裝置投入。對銀行業務必須的一些常用易損裝置進行充足冗餘備份,如印表機、業務終端等,保證在裝置發生故障且無法及時修復時能夠做到第一時間更換,確保業務辦理持續進行。對機房內關鍵裝置進行冗餘備份,包括UPS、交換機、路由器等。機房是銀行業務開展的核心,如果機房內裝置放生故障,會導致業務系統終斷,銀行業務停滯。所以要做到機房內關鍵裝置雙機熱備,確保在裝置出現故障後第一時間更換備份裝置,最大程度上降低對銀行業務造成的影響,保障業務的連續性。
(三)加強科技隊伍建設,為提高資訊科技管理提供人力資源保障
1、進一步提高資訊科技人員履職能力。採取有效方式和途徑,通過求助發起行或聘請其他外部專業技術人員對現有科技人員進行培訓,提高資訊科技人員的綜合素質和履職能力。
2、引進專門人才。面向社會招聘能有效開展資訊科技工作的專業人才,加強資訊科技人才的培養和儲備,以解決由於現有資訊科技人員匱乏出現的一人多崗,一崗多責的問題。
3、開展內部培訓。針對銀行一線員工,集中開展關於銀行業務所需的相關裝置的操作和維護的培訓,使一線工作人員掌握基本的相關裝置耗材更換,灰塵清理等一些簡單維護技能,這樣一來既能縮短業務等待時間,提高工作的效率,又能節省科技人員的工作精力,使資訊科技人員得以專注資訊科技日常管理工作。
村鎮銀行作為近幾年成立的新型農村金融機構,雖然在諸多方面存在“先天不足”的實際情況,但不能因為成立晚,底子薄而遷就自身發展過程中暴露出的問題。在資訊科技工作方面,村鎮銀行不應滿足現狀“混日子”,過度的依賴發起行。而應著眼未來,以發起行為依託,注重自身的資訊科技發展,制定健全的資訊科技相關制度,加大資訊科技投入,加強資訊科技隊伍建設,形成一套科學、有效的資訊科技管理流程。當問題發生時,能做到敢於接觸問題,能夠解決問題,快速解決問題。為村鎮銀行業務開展保駕護航。
1、對各業務部門來說
資料治理絕不是“與己無關”的一項工作。資料治理工作貫穿於資料產生、使用和銷燬等全生命週期中的各個環節。作為主要的業務資料輸入端,業務及一線部門扮演著重要的資料質量控制角色。資料質量的好壞直接影響資料分析結果的準確性,而銀行層面資料標準是否建立,各業務和管理領域的資料標準是否一致,也將影響在使用資料時需要花多大的代價來進行資料標準的統一。
2、對資訊科技部門來說
資料治理的工作涉及到資訊系統建設的方方面面。資訊科技部門在考慮銀行整體資訊系統架構的同時,還需考慮資料架構如何設計,IT領域的資料治理工作如何配套開展。例如資料管控平臺如何定位,資料管控平臺與各源系統、資料加工分析平臺之間的關係是什麼,什麼樣的資訊系統建設流程是符合資料治理要求規範的。
3、對資料治理歸口管理部門來說
資料治理是一項長期的、動態的工作,而且是類似“裝修”的隱蔽工程,是一項“髒活、累活、苦活”。如何將資料治理的價值和成果顯性化、將資料治理工作拆分為不同的模組和任務,逐步的推進和落實,如何將資料治理從管控式理念模式向服務式理念模式轉換,是一項智慧工程。
4、對合規和審計部門來說
如何規範化標準化地開展資料治理評估與審計工作是一個新的課題。從哪些方面進行評估,評估的維度有哪些,評估的標準如何定義,評估的範圍如何選擇,都急需業內專家共同探討,逐步細化,明確標準。
總體來說,一般銀行在資料治理實踐過程中主要面臨的難點:
資料管理各項工作龐雜,如何體系化的規劃開展?
資料治理組織架構如何有效執行和落地?
如何通過資料資產的盤點工作開展資料認責?
如何通過系統化工具減少資料管理的手工工作?
如何通過內控和審計促進資料治理工作的開展?
銀行資料治理的應對方式
1、體系規劃
銀行需要充分結合自身發展戰略的要求來制定資料戰略,例如一家旨在發展零售業務的銀行,其資料戰略應圍繞零售業務進行開展:統一零售客戶資料,提升零售客戶服務水平,從而建立對零售客戶做精準營銷、行為預測等等一系列的能力,結合這些內容再對資料戰略進行思考;一家將金融科技作為戰略的銀行,則需要將開放能力、服務生態的資料基礎作為資料戰略的要點進行定義。
銀行應結合戰略發展,體系化的設計資料治理各項工作,通過搭建完整的資料治理體系框架,整合聯動資料管理各項工作,服務業務,實現資料價值。體系化的建設內容可以包括四個層面。
資料治理層面:資料治理的模型,管理的組織架構,崗位要求,制度辦法,管理流程等;
資料管理層面:資料架構與共享,資料模型管理,資料標準管理,資料質量管理,資料安全管理,主資料管理,元資料管理等;
資料應用層面:資料與應用開發管理,資料需求管理等;
技術工具層面:管理流程工具。
2、頂層設計
有效的組織架構是資料治理成功與否的有力保證,為達到資料戰略目標,建立體系化的組織架構、明確職責的分工是非常必要的。
銀行根據資料戰略、自身組織架構特徵,構建資料治理組織架構,不同的方式其資料管理分散和集中程度各有不同。組織管理分散且資料需求較少或複雜程度較低的銀行,一般採用“分散模式”,各部門負責本領域的資料管理和應用;資料需求較多且複雜程度較高的銀行,可採用“歸口管理模式”、“集中+派駐模式”、“全集中模式”。具體選擇哪種方式,取決於銀行資料發展的階段,同時也取決於歸口管理部門的人力投入與專業能力。專業能力主要涉及組織溝通、業務理解、技術開發等方面。
從銀行發展的一般趨勢來看,伴隨銀行資料積累及資料需求的增加,資料分散管理模式逐漸變得不能滿足用數需求,資料質量問題頻發、未得到有效解決,銀行需要從全行整合資源投入,更為有效地改善資料管理局面。因此,銀行在資料相關工作的早期形成了“資料管理工作小組”,作為歸口管理的形式,由相關業務部門骨幹和IT人員組成,按需召集會議,共同討論解決方案並呈報管理層決策。無論出於自身發展所需還是應對外部監管壓力,小組議事形式固有的部門間推諉和資源投入不均/不足等弊端不斷顯現,其效力和效率已均不能滿足資料管理的急切需要。獨立統一的“歸口管理部門”應運而生,作為全行資料治理的`牽頭部門,明確並落實其職責,要求其牽頭實施資料治理體系、協調落實執行、組織推動工作。
由哪個部門作為歸口管理部門是業界關注的熱點與話題。各家銀行根據自己的實際情況進行考量,確定的部門也各有不同。從銀行實踐來看,因為巴塞爾協議三的實施,有從風險出發歸口風險管理部門的;也有因監管統計報送、《銀行監管統計資料質量管理良好標準》實施而歸口在計劃財務部門的;還有因為考慮科技屬性較強,與各資訊系統強相關而歸口在資訊科技部門的;此外有越來越多的銀行獨立一個數據部門來對資料相關的工作進行歸口管理;當然還有一些由業務部門和技術部門共同作為“歸口管理部門”也是銀行的實踐方式之一。
不同的設計方式下優劣勢也各有不同,銀行根據自己實際情況權衡利弊、得出最優解決方案。一般來說,歸口管理部門設定的課題均需要多長的決策過程與時間,很大程度上取決於決策層對於資料治理的決心。
3、釐清家底
銀行已經認識到將資料作為資產管理的重要性。部分銀行提出要樹立“資料作為資產,資產主動管理,管理產生價值”的理念。逐步改善銀行對資料缺乏主動管理的現狀。要將資料作為資產管理的第一步是需要釐清銀行究竟有哪些資料。
一般來講,銀行可以從業務和技術兩個不同的視角分頭開展梳理盤點工作。業務視角是自上而下的演繹,包括從業務價值鏈,資料應用場景進行業務說資料的梳理分析。技術視角則是自下而上歸納,以銀行現有資訊系統為基礎,整理相關資訊表和資訊項的情況。最終兩者整合,形成銀行的資料資產清單目錄。
釐清了資料資產清單以後,還有很重要的步驟:資料認責。資料管理職責認定在實際操作和應對過程中可以通過對業務流程的責任進行拆解。如根據不同流程節點,對應不同業務部門對資訊項的新增或者修改時,從而確定該業務部門對資料資產資訊項的歸口管理。此外,也可根據資料錄入部門、資料需求提出部門、資料標準管理部門、資訊系統業務主管部門等不同的方式進行依次認責,保障所有的資料都可以認責到部門。
4、工具落地
高效的資料管理系統化工具,是資料治理工作落地開展的保障。資料管理工作內容覆蓋全行的方方面面,無論是新產品建設,資訊系統改造,都會涉及到相關的資料管理工作。一般來講資料管理工具會有以下的三種建設方式:
1)整合資料門戶建設,統一資料入口。該方式整合資料應用,資料分析工具入口,將資料管理的內容作為服務提供給業務部門,同時在應用中嵌入管理的要求。
2)構建社群論壇,倡導資料文化建設。基於資料資產和資料管理的各項成果,採用全行資料社群化管理,引入社交的方式,使用者可對內容進行點贊,點評和討論。
3)資料流程管控,強調績效考核。該方式關注流程落地,關注績效資料,通過報表平臺化的方式管理標準落標,質量水平,問題整改情況等。
5、審計評價
基於監管機構的最新指引和銀行資料管理制度要求,銀行內部應開展資料治理審計工作,識別資料治理違規、薄弱的控制環節與執行缺陷。
審計作為銀行資料管理工作的第三道防線,應構建銀行的資料治理審計框架,通過審計促進資料治理工作的開展,保障資料價值的實現。審計的過程中,除了關注資料管理的各項流程之外還應關注和檢查“資料”本身。需要根據資料與流程現狀,以銀行的管理目標,風險導向的方式確定審計框架,保障審計內容的覆蓋面。
除了三道防線的建設,銀行還應在二道防線上開展資料治理自評或他評的工作。例如定期開展資料治理各項工作的評估,建立評估機制,落實評估程式,積極對評估過程中的不足進行改進。銀行高層應對評估結果採取積極的措施,推進問題整改。
銀行資料治理如何實施
資料治理領域包括但不限於資料標準、資料質量、元資料、資料模型、資料分佈、資料儲存、資料交換、資料生命週期、資料安全等內容。資料治理領域是隨著銀行業務發展變化的,領域之間的關係也需要不斷深入挖掘和分析,最終將形成一個互相協同與驗證的領域網,全方位地提升資料治理成效。
1、資料架構管理—規劃並管理資料從產生端到使用端的分佈、傳輸與儲存的邏輯框架;
2、資料模型管理—企業的資訊模型是企業資料標準的圖形化展現;
3、資料標準管理—規範化企業重要活動及物件的資料記錄格式;
4、資料質量管理—對資料的規範性、準確性、一致性、完整性、時效性進行持續監控和評估;
5、元資料管理—對企業資料資產的登記造冊,並記錄其相關性;
6、資料安全管理—對資料設定安全等級,保證其被適當地使用;
7、主資料管理—對企業關鍵的,跨系統共享的業務資料進行統一定義、集中儲存、釋出、更新及刪除的過程;
8、資料生命週期管理—是對資料產生、儲存、傳輸、使用和銷燬全過程進行管理。
億信華辰作為國內領先的智慧資料產品與服務提供商,在長期的資料應用建設過程中積累了海量的資料治理案例和經驗,已推出一站式資料治理管理平臺—睿治,由元資料、資料標準、資料質量、資料整合、主資料、資料資產、資料交換、生命週期、資料安全等多產品組成,形成了一套從資料質量分析、問題發現、資料補錄、流程管理到最後的績效分析的全流程管理系統,幫助客戶快速搭建起資料治理的全套管理流程和分析架構。
資料治理是一項長期動態的過程,銀行不應抱有“畢其功於一役”的想法與態度,而應從戰略指導、組織架構、管理流程等從上到下的思想轉變,合理規劃,穩紮穩打,同時也不能畏難而止步不前。
