访中国人民银行科技司副司长李晓枫
记者问:2008是不平凡的一年,我们经历了冰雪灾害、汶川大地震、北京奥运、金融风暴等大事件,从金融行业的角度,您怎样看待这些事件?
李晓枫答:去年,特别是汶川地震和北京奥运,对整个银行业的运营和安全提出了更高的要求,考验了银行业的服务能力。应该说,我们的银行业在“冰雪灾害、汶川大地震、北京奥运”这三次大考中,取得了突出成绩,银行业的系统安全稳定运行,银行业务服务没有中断,受到了国务院和党中央的肯定。
问:2008年我国银行业在信息化建设上,您认为主要取得了哪些成绩,还存在哪些问题急待解决?
答:完成数据大集中的银行,从建设、运行安全和内部管理合规性有所加强,引入的ITILL国际标准,在制度流程化、规范化上见到了效果。在软件开发方面,引入的CMMI国际标准,将软件开发文档化、标准化、规范化管理。在信息安全方面,引入的ITMS,使信息安全工作标准化、规范化,信息安全管理更加规范。合规性是IT治理的重要理念,去年,银行业在IT治理中取得了显著的进步,是我们在三次大考中取得良好表现的重要原因之一。在系统建设方面,则因为受抗震救灾和奥运安保工作安排的影响,一些系统建设放缓、推迟建设。
2008年尽管我们取得了很大的成绩,但还是存在一定的问题。中小银行受人才制约,合规性建设方面存在欠缺。大银行由于股份制改造时间不长,其治理结构、管理体制在向以客户为中心转变,要求技术和业务更好的融合。在转变过程中,他们已意识到,业务与技术仍需要磨合、信息化路线技术仍不是很清晰,出现银行间产品同质化比较严重的现象,比如理财产品大多是大同小异。在中间产品和存贷差业务方面市场细分还在摸索中。
另外,中小银行和大银行在数字化方面的差距还在扩大。原因在于,我国信息化社会服务体系不完善。中小银行由于人才和成本的问题,不能像大银行那样成立庞大的开发团队,独立完成信息化建设。中小银行各个业务系统的建设往往是通过不同的IT公司完成。目前国内没有哪个科技企业能“通吃”一个银行的所有业务系统,业务系统由不同IT企业建设带来的最大问题是系统之间不能很好的整合,可能会为下一轮数据深度利用开发埋下隐患。在国家宏观的方面,对银行业的信息化建设统筹指导工作有所不足。比如大多数银行的灾备中心都集中在北京、上海等城市,信息安全战略上看是有问题的。
问:2008年的金融危机对我国银行业产生了哪些影响?
答:我国银行业的发展与欧美发达国家的银行业发展相差一个阶段。我国是最大的发展中国家,由于我们资本市场未开放,人民币汇率没放开,没有那么多衍生产品,这使我们可以较少受到这次金融危机的影响。在银行业监管方面,我们一直在向发达国家学习。你会注意到这次金融危机,发达国家的银行也受到政府保护、社会负面性影响相对较少,这与银行一直受到严格的监管是有关系的。其中国际社会新的监管理念——新巴塞尔协议,充分表明银行是经营风险的行业,应健全风险管理体系。这对数据集中后的银行风险管控是一个挑战。
新巴塞尔协议要求银行要有风险管控体系;其次要有资本充足率,面对风险带来的损失银行要有一定足够的资金进行弥补。这个理念如何在中国落地?
我国银行业的主要风险是信贷风险。我国的市场经济具有中国社会主义特色,一方面我们面临市场、利率、汇率的逐步放开,另一方面由于我国金融市场不是直接融资的体制,是以间接融资为主,银行业主要面临的是信用风险。在操作风险方面,我们与发达国家相比,风险性质也不同。主要面临的是低水平生产管理、工作人员在配置变更、事件和问题处理等方面疏漏造成的宕机等运营生产问题。国外银行则是面临欺诈为主的操作风险,例如法兴银行、巴林银行利用流程漏洞进行欺诈操作风险问题。所以,银行IT风险控制建设的内容,主要是支持业务部门做好信用风险、市场风险的管理。数据大集中后,银行通过建立灾备中心,也是运营风险分散控制的需要。
2010年,新巴塞尔协议要在我国银行业落地,现在我们面临的问题是如何结合国内渐进式改革开放过程的特点,创建具有特色的风险管理体系,这之中,IT如何做到与业务很好地融合,是成功的关键。
问:我国银行业信息化建设面临着哪些挑战?
答:我认为挑战主要来自四个方面:
首先,银行业在数据大集中后,要将客户市场细分化,开发出不同的产品以满足不同的市场需求。这一点,映射在银行信息化建设上则是,银行核心业务系统是否能从过去以账户管理为中心转变为以客户管理为中心。
第二,在不同业务条线交易操作中,得到的信息如何再次集中与共享,集中后如何进行挖掘分析,找出目标客户,提供针对性强的产品和服务。
第三,中小银行信息化建设面临的主要问题是,可信赖的社会力量不足,找不到资质全面的IT公司解决自身所有业务信息化的问题。能够担纲中小银行信息化决策者的人才也很匮乏。
第四,银行服务的安全性问题。表现在两方面,一方面是互联网金融服务、银行的网银业务已面临着互联网上的黑客攻击、木马病毒、钓鱼网站等安全问题。另一方面,,由于互联网的开放性,我们不得不担心批量客户信息被泄密的危险。此外,随着银行卡的普及使用,收单准入门槛越来越低,商家素质参差不齐等将形成安全隐患。信用卡套现、打包出卖信用卡客户信息、冒领信用卡等问题突出。由于信用卡发放数量达到一定水平后,各银行业务同质化问题日趋严重,发卡对象由高素质客户逐步向低素质客户发展,这将带来一系列问题,比如信用卡套现,伪卡犯罪等。在经济下行期尤其要防范这些问题。
问:未来,我国银行业信息化建设的机遇在哪里?
答:与西方发达国家相比,我们是发展中国家,是追赶者。我国经济还在高速增长,加上我们资本市场没有开放,我们国内银行服务还相对封闭,这是一个好的发展时期。我国银行业信息化建设还处在上升阶段。对完成数据集中的银行,主要面临的问题是如何将技术与业务融合,以支持风险管理,向以客户为中心转型。重点是银行的核心业务系统如何做到以客户为中心,包括传统核心业务系统是自主开发升级转型还是引进创新转型。其次,管理信息要再一次集中,经过数据清洗、标准规范后的集中才能建立可信的数据分析模型,才能出创新产品。但需要注意的是,管理信息再集中的技术路线还不是很清晰:比如,是否走数据仓库的技术路线,现在看来由于业务条线还在磨合、业务部门间数据共享机制不成熟、稳定,采用数据仓库技术来做管理信息再集中的做法,要慎重。因此,实践经验表明要先建立良好的业务部门间信息共享机制,再建立数据仓库。
问:人行明年信息化工作的重点是什么?
答:人民银行明年将进一步加强与银监会、保监会、证监会的沟通与合作。
首先,在信息化建设规划方面,明年将启动“十二五规划”制定。
第二,在信息化标准建设方面,将朝有利于数据共享,流程合规、提高工作效率方面努力。
第三,安全建设方面,将落实国家的等级保护制度,落实国家关于国产信息化产品的采购规定。加强信息安全审计、评估等工作。我们也将促进交流,鼓励银行信息化经验的互动交流开展。
重点信息化项目方面,人民银行行自身的信息化建设对金融行业信息化具有全局性的推拉作用。比如,我国二代支付系统、电子汇票系统、中央银行会计集中核算系统、国库会计集中核算系统,金融统计集中系统的建设项目,要在明年全面启动或推广。这些系统的建设过程所有银行都要参与,它们对大银行是拉动,对中小银行是推动,进而带动了我国银行业的信息化建设。尤其是中小银行的积级参与,有利于缩小他们与大型银行的数字化差距。
在银行卡安全方面,我们与支付结算司一道,要加强在银行卡受理市场和发卡方面的管理,进一步规范收单市场。随着互联网金融服务的蛋糕越来越大,我们也面临着“魔高一尺,道高一丈”循环性安全问题,比如,对银行网银的互联网分布式拒绝服务攻击问题,就需要健全从公安、电信、互联网域名管理等部门的应急防范机制。2009年将考虑启动银行磁条卡整体向IC卡的芯片化迁移工作,在新的安全形势下,看来若要彻底保证用卡安全问题,必须走出这一步了。同时,芯片化迁移中,我们不希望再重复磁条卡的双币种卡发展路线,我们希望以人民币卡为主、一卡多用,节省社会资源。
金融业信息化涉及到规划、政策、管理等多方面工作。围绕人民银行科技司新的“三定”职能,2009年仍然是一个探索发展的过程,首先,通过“十二五”规划工作,我们希望使金融业在信息化建设中有清晰的目标和追求,能做到结合行业监管、企业需求、国家政策。第二,通过改组金融标准化委员会的工作,进一步提高工作效率,把标准化工作从业务处理方面逐步引向流程管理、信息安全等方面。引进ITILL、CMMI、ITSM等国际化标准,并研究在中国如何落地金融业。使银行业在信息化建设、信息安全管理、运行生产、应急体制建设发展上规范化。第三,我们将点面结合,一方面要健全信息化宏观管理体制,有效开展政策性指导,另一方面具体的信息安全事件通报与处理、全社会应急资源支持等工作也要列入计划。
人民银行科技司承担国家在金融信息化方面统筹指导职能。新增职能可以有效改善原来偏重的“谁主管、谁负责,谁运行、谁负责”的单边状况,能从宏观上较好地体现国家在金融信息化方面的意志与政策要求,总结信息化好的经验。我们的金融业务在规范,信息技术自身也要规范。由于我国的国情,我国银行信息化建设不单是银行自己的事,应体现国家政策要求,企业要有社会责任。比如落实信息系统等级保护;在信息化产品采购方面要支持国内产业。另外,在知识产权方面要重视专利申请与保护,提高服务水平,避免同质化竞争。
问:您认为,2009年我国银行信息化建设的热点会出现在哪里?
答:重点是以建设促发展。大型银行的热点是,完成数据集中的银行面临业务与技术进一步融合的问题,技术人员要既懂技术又懂业务。过去是业务人员提需求,技术人员出方案。现在,新市场变化很快,业务部门的需求形成是模糊的,需要技术与业务两条线同时商讨,进行迭代式开发。风险管理方面,技术支持与管理数据支持越来越重要,比如把风险点在流程中量化打分要做大量的统计分析运算,要靠IT来支持。中小银行的热点将是如何整合技术架构,在运行管理以及IT治理方面提高合规性管理水平,向大银行看齐。2009年相对2008年信息建设将是平稳、高速发展的一年。共同的热点是在经济下行周期,如何防范金融犯罪,这不是仅靠技术能解决的,需要相应的法律法规和提高业务管理的规范性。
