银行的业务系统如何适应市场需求的变化以及需要哪些IT系统的支持,需具体
推荐回答
银行核心系统是记录保存银行客户信息和存贷款操作等银行最关键、最敏感的业务数据,去IOE受...银行IT系统概念股受“棱镜”事件影响,最近部分银行在做去“IOE”筹划,准备在三到五年内逐步淘汰外资,在银行IT系统和办公系统实现中资化。银行“核心系统”是记录保存银行客户信息和存贷款操作等银行最关键、最敏感的业务数据,去IOE受益股:长亮科技的核心系统业务在全国城商行市场占有率约20%;卫士通:公司和多家金融机构签定网络安全长期合作备忘录。让更多人知道事件的真相,把本文分享给好友:更多。
车小霞2019-12-21 18:02:48
提示您:回答为网友贡献,仅供参考。
其他回答
-
背景为加强商业银行的信息科技风险管理,提升信息科技风险管理能力,09年3月份银监会正式发布了《商业银行信息科技风险管理指引》都能得到及时的记录、分析和解决。制定安全事故响应流程,以支持对于非法活动的及时反应和调查。数据管理数据管理涉及用于管理信息完整性、准确性、授权和有效性的控制和程序,对信息的记录、处理和报告起支持作用。在制度与流程建设中,需要制定相应的政策和流程用于数据的处理、分发、保留和报告的输出。IT风险管理软件平台方案IT风险管理已经成为银行风险管理的重要组成部分,急需建立信息化平台支撑IT风险管理的日常工作。风险评估、风险控制、风险监控、监督与审计、风险沟通等工作均涉及大量的日常工作,需要建立相关的系统平台来满足银行IT风险管理相关部门的需求,谷安公司经过多年的行业经验积累,推出了国内首家IT风险管理平台系统。IT风险管控系列软件目前包括如下主要模块:风险评估管理-GooRiskGooRisk信息科技风险评估软件提供了系统化的风险评估方法论和行业风险知识库,包括评估范围定义,安全现状调查,资产威胁分析、漏洞分析、风险综合分析、风险控制措施等主要功能,帮助客户快速自动化的评估自身的资产风险与流程风险。风险控制管理-GooISMSGooISMS风险管理体系建设软件提供了IT风险管理体系规划与管理体系建设的方法论和行业模板库,包括体系规划,体系设计,体系实施,体系保障等主要功能,帮助客户快速建立安全管理体系,通过内部审计、管理评审等管理过程,保障体系的有效运行。风险运营管理-GooProcessGooProcess信息科技风险运营管理软件提供了基本的信息安全日常运作流程,通过自动化工作流引擎,可自主定义帐号管理、权限管理、人员安全、设备安全、物理安全、安全检查、安全事件、安全培训、通知公告等流程,将安全管理流程真正落地。风险审计管理-GooAuditGooAudit安全风险审计管理软件提供了信息安全风险审计检查工具与审计管理流程,包括了各种业务、系统、设备的安全检查列表,符合性测试、实质性测试工具,定期审计管理流程,以及审计底稿、审计报告的管理。风险知识管理-GooAwarenessGooAwareness安全风险知识管理软件为企业提供了信息安全相关知识的管理与共享平台,包括安全通告、内部知识库、外部资料库、标准与法规、案例警示、常用模板、知识地图、个人知识库等基本功能,方便安全知识的获取与管理,全面提高员工信息安全意识。软件特色与优势:完整的行业知识库:提供完整的银行业知识库支持,并且对知识库进行持续更新;知识库包括行业业务流程、业务系统、信息资产、威胁类型、漏洞类别、风险指标、安全策略、管理流程、行业法规等。遵从各类监管要求:紧密结合企业信息安全与内部控制要求,遵从信息科技风险管理指引、ISO27001、等级保护、COBIT等标准,引导公司信息安全与IT控制工作,协助信息安全与IT风险管理体系建立,并管理文档记录、测评、评估、改进、测试等阶段的工作;全面符合国际标准ISO27001、国家标准GB20984《信息安全风险评估规范》,以及公安部等级保护测评要求统一控制框架:采取UnifiedControlFramework设计,可将超过2,000个“既定的”控制目标与等级保护、ISO27000:2019、COBIT、COSO、ITIL、NIST、SOX、BASELII和PCI等几十个标准和法律法规相挂钩,并可通过全面的可配置性和可扩展性应用到知识库中;操作简单安全:基于B/S架构,通过浏览器的轻松灵活的使用、导航界面,能够根据组织要求调节界面外观,基于角色授权指派相关人士负责控制工作,轻松添加各种控制与遵从标准版本,支持本机Excel电子数据表输入。
赵颖鸿2019-12-21 18:19:56
-
中小银行信息系统建设采取外包采购方式来完成。因此,做好IT业务外包风险与安全管理是银行业IT治理的一个重要内容。IT业务外包风险分析1、从宏观层面分析,产生系统性风险。目前银行业使用的IT产品如计算机CPU、操作系统、基础应用软件、互联网等技术都来自国外公司,因某种原因,承包商所在国家发生战争等不可抗拒性事件时,会造成IT供应商及其供应链上的公司不能正常经营,如果IT业务外包的是一些重要的核心业务,则会对银行信息系统安全造成重大影响。2、从供应商方面分析,产生依赖性风险。目前,国内银行业普遍长期使用一些国内外知名厂商提供的软硬件产品,在熟悉供应商产品的同时,长期使用也形成了对某一供应商的依赖,也会因外包商自身或其供应链上某公司出现问题,造成外包商运营出现风险,如果银行没有自己掌握外包供应商产品技术,更换新外包商会带来成本高及影响银行业务正常运营。3、从产品供应链分析,产生供应链风险。目前,很多IT厂商特别是跨国IT供应商,把用户订单分包给其他外包商生产,当该公司供应链企业合作关系因某种原因出现问题时,则会产生IT外包供应链风险。4、从采购方面分析,出现选择性风险。在外包供应商招投标过程中,由于没有对外包供应商的服务能力、技术水平、才能力、行业信誉、安全保护措施等方面做全面的科学分析评估,并受到来自各方面关系因素影响,选择的IT外包商各方面能力不能满足银行自身业务发展需要,容易出现项目失败,造成损失。5、从合规方面分析,产生合同风险。在与IT业务外包供应商签署合同时,因制定的合同文本中相关合同条款描述的不到位、不详细,权利与义务没有很好的说明,容易造成外包服务质量达不到预期目标甚至产生合同风险。转自项目管理者联盟6、从道德方面分析,产生信息安全风险。由于外包供应商内部控制出现漏洞,本公司内部员工辞职,并利用到银行工作之便,或者与银行员工内外勾结,窃取银行客户信息和资产,给银行和客户造成损失。7、从技术方面分析,产生技术风险。一些IT供应商因受到自身发展瓶颈的限制,资金和研发能力不足,不能紧密跟踪新技术应用,对软硬件产品及时进行升级改造,则对信息系统应用开发和安全运营产生影响。9、从服务方面分析,存在服务质量风险。据2004年德勤发布的《外包调查报告》称:57%的调查者因为外包服务提供商能够提供优质的服务和业务创新选择了外包,31%的调查者认为服务提供商处于更有利的位置。在合同不完全性和双边垄断的前提下,外包商处于更有利的位置,致使服务质量得不到有效保障,组织效率得不到有效提升。10、从内控管理分析,存在监督与审计缺失风险。在IT业务外包合同执行期间,银行管理部门往往忽视了对外包商的财务状况以及支持IT外包业务的技术和关键人员进行有效地监督和管理,忽视了对外包供应商及供应链公司的日常审计检查,容易造成IT外包业务服务水平下降。11、从软件方面分析,存在后门的风险。在银行软件产品开发过程中,商业化的组件和中间件得到普遍应用,需求内容变更、版本升级、打补丁,很难做到每一次升级都对系统功能从头到尾全面完整的测试,这使的软件产品外包商及供应链的透明度和可追溯性追踪变得困难,会存在后门的风险。
黄皎林2019-12-21 18:09:57
-
在整合过程中,建设核心业务系统成为一个新热点。此时,国内银行建设核心业务系统面临两种选择:一是自主开发,二是整体引进。承载着打造“后发优势”及快速与国际接轨的梦想与希望,国内一些银行纷纷走上整体引进之路。然而,在具体实施过程中,“引进一套国外系统,复制一家一流银行”似乎只是一种理想化的设想。实施国外核心业务系统项目后,国内银行往往投入大量资源,花费大量时间,项目实施计划一改再改,上线时间一推再推,系统却还是不能投入生产。有些银行经过一到两年的探索和尝试,最终还是放弃了国外产品,掉过头来转向国内IT厂商提供的软件。将国外系统移植到我国银行现有的生产关系环境中,“空气、阳光、土壤、水份”等都大为不同,如果系统的灵活性和适应性不强,结出的果子自然亦非当初所设想的样子。是南橘北枳,中国的银行完全不适于采用国外的系统?或仅仅是水土不服,只要经过本地化、客户化的改造后,国外系统还是能发挥其应有的效应?业内外人士都在密切关注———国外银行核心业务系统在中国实施本地化和客户化的难点究竟在哪里?引进国外银行核心业务系统产品,购买只是简单的第一步,如果不经过大量的本地化和客户化工作,系统根本无法发挥其功效。不同类型的国外软件在本地化和客户化过程中会遇到不同的问题。纯技术类软件主要面临技术问题,管理类软件除了技术问题外,更大的困难是文化、体制的差异。整体引进国外银行核心业务系统,虽然遇到很多技术问题,但根本原因还是在于国内外监管环境和体制流程方面的巨大差异。国外核心业务系统本地化和客户化是一项复杂的系统工程很多人存在这样一个认识误区,认为软件本地化就是软件翻译,软件客户化就是按照客户需求加以修改。实际上,软件本地化是将一个软件产品按特定国家、地区或语言市场的需要进行加工,使之满足特定市场上的用户对语言和文化的特殊要求的软件生产活动;软件客户化是指在分析用户需求与产品差异的基础上,在满足客户需求和保证系统结构稳定的前提下,对软件进行的一系列开发、测试活动。因此,国外软件本地化是一项复杂的系统工程,不是一个简单的从外语到中文的翻译过程;客户化也不单单是按照客户需求去修改系统,否则就失去了购买成型产品的意义。国外银行核心业务系统在中国的本地化,主要包括本地化界面、国内环境接口、本地化报表、本地化文档及培训等方面。界面本地化包括:语言的汉化,将系统界面中的画面、菜单、操作符、提示信息等要素用中文进行表示;界面的易使用性,针对国外产品操作界面与国内风格的不同,通过适当修改、简化或进一步细化成一个容易使用的操作界面;用户操作习惯的满足,根据用户在旧系统上形成的较好的操作习惯,实现系统对应内容的差异最小化。与国内外环境的接口:包括人民银行现化支付系统、中央国债登记结算公司接口、上海证券登记结算公司接口、外管局国际收支申报系统、人民币大额和可疑支付交易监测系统、人民币交易系统、结售汇系统、进口品报关单检查和进口单位名录系统、各种本地数据交换信息接口等。本地化报表:国外核心业务系统报表功能高度参数化,因此报表本地化与报表的具体形式关联性并不十分紧密,工作量主要集中在内部数据的采集。本地化文档及培训:本地化文档包括用户手册,操作手册、技术手册等;本地化培训,包括详细客户培训、详细设计培训、技术标准培训等。国外银行核心业务系统在中国的客户化,主要包括需求差异分析、与内部系统的对接、第三方提供功能的集成等三个方面。需求差异分析是以国内银行现有业务或预期目标为基础,对照国外金融IT产品进行功能性分析,找出差异以及应对策略的过程;与银行内部系统对接要分析清楚现有系统与即将开发的新系统之间的详细关联关系,保证新旧系统平稳衔接;第三方提供功能的集成,是指在保证第三方提供的系统运行正常的基础之上,考虑与核心系统进行集成。这一般是由国外厂商在当地IT公司中选中的一家总集成商来完成。国内外银行监管环境的巨大差异增加本地化难度国外银行核心业务系统模块多、规模大,业务范围涵盖银行业务的方方面面,其本地化和客户化过程对任何国家的任何银行而言,都不亚于一场革命。把它放到我国银行的背景环境之中,矛盾就会更加突出。我国金融市场化程度不高,监管框架、相关法规制度与国际标准还存在较大差异,银行治理结构的缺损、内部经营管理体制的僵化,操作方式落后,这些都加大了核心业务系统本地化和客户化的工作量。监管环境和相关法规是硬约束,为适应国内的财会准则以及人民银行、银监会等监管机构的监管要求,国外的核心业务系统必须做出适当修改。此类差异主要体现在以下几方面:国内外利率管制程度不同,系统在国内本地化和客户化时,某种程度上要牺牲系统的先进性。在国外核心业务系统中,利率就象一个魔方,其多维、立体的参数设置和组合,在打通银行及相关混业领域、联贯各产品方面发挥着灵活的作用。在国外发达的金融市场环境中,利率作为最核心、最重要的交易要素主要体现在价格功能。国内现阶段金融市场尚未完全放开,利率很大程度上是金融监管当局的管理工具。按照人民银行的利率管理办法,对于各种类型的存款或贷款,利率要求都不尽一致,特别是针对部分种类的存款和贷款更有特殊的规定。国内监管部门利率规定繁多,利息计算方法复杂,因此产生很多差异。这些差异应该按监管规定进行修改,但考虑到修改量太大会影响其稳定性,需要采取折衷作法。国内外对外汇管制程度的不同,造成核心业务系统本地化和客户化时,系统修改的难度和工作量加大。在外汇管制的背景下,结售汇是我国监管框架下的特殊业务。根据外汇局外汇管理的有关规定,每笔结售汇业务都涉及到:对客户是否在其“名录”中进行真实性的审核;需要对其贸易必备条件进行逐笔、逐级进行审批;还要进行询价、头寸申报、买卖外汇、结算、售汇报表等。国外由于外汇自由兑换,没有哪个模块有类似功能。如果走定制开发模式,可以考虑单独设置结售汇模块。但对国外核心业务系统而言,修改需求介于操作与报表之间,开发起来有一定难度。另外,根据外汇局要求,结售汇报表、大额可疑报表、经常账户报表要直接从业务系统中生成并报送,类似需求对国外系统的改动也很大。国外系统要与国内支付系统直联,需要对整个模块做彻底的修改。为实现资金清算的STP直通式处理,核心业务系统应与现代化支付系统相连接。由于国外系统没有通过国内大额支付系统汇划处理业务的界面,需要按照人行的《中国现代化支付系统与商业银行行内系统接口方案》中规定的报文格式要求,包括支付报文、非支付报文、对账报文等,对系统做大量的改动和测试工作。从稳妥角度考虑,国内银行在建设核心业务系统过程中,一期可以先实现交易驱动账务核算,待系统稳定后再推进清算的直联工作。国内外会计管理理念和制度的差异,需要重新构架会计体制,实现会计管理的全面转型。国外核心业务系统的会计核算功能,靠交易驱动来实现系统自动化处理。这既是国外系统直通式处理和参数化灵活配置的优势体现,也是实施过程的难点所在。会计核算不仅要跨越管理理念的差距,而且要把大量的制度创新和方案设计的工作想在前头和做在前头。具体来说,就是对所有业务模块驱动会计核算的核算结果通过制度规范想在前面,对上万个会计参数通过严格的确认和配置做在前面,否则会直接影响系统自动化输出的会计核算的结果。这既要求业务归口部门及早改变传统的会计管理模式,又要组织起银行内部技术资源,扎扎实实地做好系统上线前后的各项准备工作。如果会计核算结果的准确性、效率性及安全性缺乏保障或受到置疑,就会动摇整个核心业务系统的根基。考虑到国内金融改革与银行开放的速度和进程,对上述重大差异要有前瞻性的态度和解决方案。对于接近国际标准、具备中国特色、预计不会成为改革对象、当前必须遵守的法律、法规,要认真对待,研究解决方案。对于事过境迁、含义模糊、明显属于过渡安排、不涉及法律诉讼的制度和规定,可以不予考虑或暂时放一放。另外,在解决方案的方式方法上,要优先考虑适当变通,尽可能地少改产品。按照这样的大原则,才能把修改系统的工作量降到最低。国内外银行管理体制流程的巨大差异增加客户化复杂度此外,国内银行经过多年改革与发展也形成了自己独特的管理体制和操作流程。这些管理体制和操作习惯中,大部分来自于经验积累和成绩总结,也有一部分属于不规范的范畴,与国外同业相比存在着一定的差异。有些差异我们已经司空见惯,甚至变成了日常管理操作的一部分。引进国外核心业务系统,要从多个角度思考对这些差异的系统处理方案。内部核算、清算体制的差异。与国内银行实行的总分行多级核算体制不同,国外银行一般实行一级核算体系,对总分行清算资金往来系统只设一个过渡账户--总分行往来,总分行共用该账户,相互占用资金不计息。因此,国外核心业务系统中没有系统内资金清算功能,总分行不能对开清算资金往来账户。按国内银行的资金管理体制,分行作为一级经营单位,与总行资金往来需要相互计算利息。因而需要开立清算资金账户,用于系统内资金往来。虽然目前以“集中”和“集权”为主要特征的改革已经成为国内银行的趋势,但这种权利上收和层次减少还限于支行层权力及核算单位的取消,效果尚不十分明显。由于账务层次过多,一些分行内部账交易的数量甚至超过了往来账户,潜在风险加大。不仅占用大量计算机资源,造成系统处理速度慢,批量处理时间长,月终、年终处理压力大,而且也增加了国外核心业务系统本地化和客户化的工作量。资金管理体制的差异。国外银行由于实行总行一级核算,分行被看作总行的营销前台,客户是银行共同的资源,因此,贷款发放可以简化为银行与客户之间的借贷关系。银行向客户发放贷款属于财务会计核算范畴,由核心业务系统处理;总分行之间的资金占用和利益分配,属于银行内部利益再分配范畴,可以通过外挂的管理会计模块进行核算。而国内银行核算层次多,系统内各层次之间资金关系复杂。有些银行为了加强系统内资金管理,实行了系统内借款的作法。具体执行中要求贷款的发放、回收、计息等均与总、分行间的系统内借款处理绑定关联。此类需求若要在核心业务系统中实现,需要系统做出重大改动。后督的作法问题。为加强事后监督,国内有些银行实行了后督制度。在手工方式下,后督一般于业务发生次日对原始凭证、会计凭证、审批单和交易流水进行逐笔检查,以此达到对本、外币结算清算和会计核算业务进行逐笔事后监督的目的。国外系统中没有类似我们理解所说的后督功能,如果要实现国内银行现行后督的作法和要求,系统修改的工作量非常大。双敲复核”问题。根据会计制度有关规定和风险控制要求,存款、支付、清算所有模块均需增加录入复核功能。即录入员输入交易要素后,由另外的复核员重新录入关键的交易要素,两次录入相符才提交该笔交易。出于降低风险的考虑,国内银行希望能够实现这一功能。但对于国外系统而言,增加双敲复核的功能需要对系统做较大改动,增加处理界面近一倍。国外产品供应商建议采取主管授权和降低录入人员操作权限的方法的方式替代复核功能。由于该项变通处理涉及面广,影响深远,需要分时、分步才能解决。倒起息”需求问题。倒起息有时被称作“利率晚到”,指由于某种原因,利率的实际生效日需要提前到系统当前日期之前。国外也有倒起息操作,只不过频率没有我们这么高。目前国外核心业务系统还不能处理好这个问题,完全按照国内银行的自动处理要求对系统进行改造也有一定难度。最后往往选择的是折中的方式:即倒起息在同一结息期内的情况下,系统可以自动计算利差并进行计息;倒起息跨一个结息期时,系统只能提供利息调整数的计算功能,但要手工调整;跨多个结息期时,系统完全要手工操作。还有一种方案建议将利差的计算放在系统之外,通过两个系统自动衔接,实现利息调整批量完成。重要空白凭证管理问题。国外核心业务系统有支票、汇票、本票的管理功能,但管理层次少,管理内容简单。国内银行要求对银行汇票、银行承兑汇票、银行本票定额、不定额、定期存单、来账报单实行总分行多级集中管理,可随时增添票据种类,保留系统对客户的管理,同时需要记表外账单式记账。这是国外核心业务系统需要向国内靠拢的地方。跨分行访问控制问题。国外银行机构设置扁平化,分行只是按业务纵向销售总行产品的前端,因此国外系统一般没有跨分行访问控制的概念,各分支机构间可以随意访问,很多模块无需对跨分行权限进行限制,一家分行可以改动另外一家分行的业务。由于国内银行管理模式与国外不同,因此很容易发生分行错记总行账的问题。即使产品供应商不愿意修改,从风险控制的角度看,类似差异需要按照国内银行现有模式进行修改。综上所述,由于国内外市场发育程度不同,银行的外部监管环境和法规制度相差较大,银行内部的管理体制、业务流程和操作习惯也有很大的区别。差异是客观存在的,但却是可以靠银行、国外核心系统提供商及国内总集成商共同努力,找到一个彼此接受、合理可行的解决方案。由于差异的解决程度,直接影响到项目的成功与否和风险大小,因此需要各参与方正视差异,共同面对和分担项目风险。这些差异解决好了,就能够实现国外技术与中国实践的良好“嫁接”;解决不好,就会成为“夹生饭”,煮不熟也吃不下。此文为作者博士论文节选。
赵颖芳2019-12-21 17:57:09