【TGES • 访谈】在改革开放中推进现代金融风险管理  — 专访建银国际执行董事兼行政总裁丰习来先生(上)

【编者按】金融改革40多年来,我国积极对外开放,推动了经济的发展。在金融开放的过程中,银行风险管理的重要性愈发凸显。本期的专题访谈我们有幸邀请到建银国际执行董事兼行政总裁,就“在改革开放中推进现代金融风险管理”这一命题,与读者分享他在多年业界实践中的经验。


在改革开放中推进现代金融风险管理

— 专访建银国际执行董事兼行政总裁丰习来

栏目主持人:陈忠阳


主题一:银行市场风险管理

主持人:

丰总您好!非常感谢您能够接受我们的专访,与读者分享您在多年业界实践中的感悟。您曾经在建设银行风险管理部工作过,同时也是中国金融改革的亲历者,请您谈谈近年来我国银行业市场风险管理发生了哪些变化。


丰习来 :

2007年以来,起源于美国的次贷危机在给各方带来巨大损失的同时,也凸现了现代金融业的本质变化,更暴露出银行业运行和市场风险管理中存在的不足。在这样的背景下,我国银行业原有市场风险管理模式受到挑战,至少有以下5个方面的问题。

第一,金融创新与混业经营的方向需要重新思考。此次金融危机之前,银行业进行大量金融创新,各种新的金融产品不断出现,一方面银行的业务越来越复杂,另一方面,形成了大量的表外资产,形成各种影子银行。其结果,金融创新工具在为单个经济主体提供市场风险保护或者套利机会的同时,却将风险转移到了另一经济主体身上。次贷危机的爆发使得人们意识到,在过快的金融创新面前,容易造成银行风险的失控,因为风险管理能力远远跟不上创新的步伐,这反过来也对危机之前的创新提出了疑问:创新是否偏离了银行业正确的发展方向?创新是否过快?这是一个仁者见仁,智者见智的问题,但不可否认,此前的金融创新多多少少是存在很多问题的,这也是危机爆发的一个基本原因。

与创新相联系的是银行业的混业经营问题。2000 年以来,传统银行一直是分业经营的模式。在美国1999年废除格拉斯斯蒂格尔法之后,传统银行越来越多地涉及投行等创新业务,形成投行主导的混业经营模式。次贷危机后,投资银行生存和盈利压力非常大,因为其高杠杆化经营模式无法继续延续。投资银行为了生存,避免走上雷曼的不归路,不得不选择全能银行化,并采取了两条路径:一是成为现有金融控股公司的一部分,例如摩根大通银行收购贝尔斯登,美国银行收购美林。二是申请成为银行控股公司,然后升格为金融控股公司。总的来看,次贷危机后,商业银行进军投资银行等非传统业务的混业经营模式似乎已经走到了尽头,全球各地都出现了传统银行业务重获重视的迹象。

第二,流动性管理与资本充足率管理同等重要。此次危机中,流动性问题十分显著。一方面,随着市场环境的恶化,资产的流动性越来越差,形成恶性循环,最终造成流动性枯竭。同时,以市值计价的公允价值计量规则的顺周期性对危机起到了落井下石的作用。在雷曼走向破产过程中,摩根大通、花旗集团等金融机构认定雷曼的贷款抵押物价值过低,要求雷曼追加50 亿美元资产作为抵押物,进一步降低了雷曼的流动性。诚如《雷曼破产调查报告》的作者沃卢卡斯检察官所言,债主们所提抵押(贷款)要求直接影响雷曼的流动性,流动性状况是雷曼破产的关键。这充分说明了在一个充斥着交易资产的市场中,流动性管理将与资本充足率管理同等重要,市场流动性和融资流动性高度相关。

第三,各种风险单独管理的模式难以适应全面风险管理的需要。通过此次危机,人们发现,信用风险、市场风险、操作风险、流动性风险四大风险之间是相互联系的,不能孤立的分析某一种风险。以市场风险管理为例,简单的认识认为市场风险就是价格的变化,但事实证明,市场价格的变化可能更多的受制于交易对手的信用风险。证券发行体的信用状况的信用评级下降往往带来资产的贬值,极端情况下,发行者不能还本付息,信用彻底丧失,直接给证券持有者带来损失。购买雷曼公司债等债券一开始可能关注的只是债券价格的市场波动,但最终雷曼破产的信用风险带来了债券价格归零的市场风险。在市场风险管理中也有信用风险管理,防止市场交易当中存在的信用风险,或者信用风险影响资产价格,演变成市场风险或者信用敞口并带来损失。既要强调盯市、债券信用评级等直接针对资产价格的管理,也要强调报告发行体的主体信用评级和交易对手的信用评级,分析其经营状况。

风险之间的相互影响和转换对风险管理提出了更高的要求。尽管信用风险、市场风险、操作风险、流动性风险各自独立成块的管理模式有利于发挥专业化的优势,但现实中可能更需要我们对可能引发的各种潜在因素进行综合的管理,尤其是对市场风险管理而言,它其实是涵盖了四大风险形态的一个非常综合的风险管理。

第四,金融数学模型的可靠性需要重新认识。近30 年来,数学模型在金融衍生品定价及风险管理当中占据了核心的地位。然而,对复杂模型的过度依赖已经成为此次金融危机的又一原因。这些数学模型设与现实往往存在一定的距离,并且都有着严格的假设条件和繁杂的理论结构。面对多样化的现实,再复杂的模型也是简单的,数学模型的使用只能提供一种参考而不能提供保证。事实上,任何一种模型都有其适用性和灵活性的缺陷,因此完全依赖定量分析是不合适的,风险管理还是应该回归到定量分析与定性分析的结合上来。

第五,评级体系的道德风险与依赖性面临挑战。就银行而言,本次危机充分暴露了过于依赖外部评级机构的运作模式给银行带来的苦果。过于依赖外部评级机构,放松了内部尽职调查和风险评估。这其实是将风险的管控权直接让给了评级机构,既不知道自己买了什么,出了问题之后自己又不能控制局面,完全由评级机构掌握主动。

另一方面,外部评级机构的缺陷和过度依赖外部评级进行投资也造成了一定的负面影响。评级机构的道德风险在此次危机中暴露无遗,在金融衍生品不断创新的过程中,即使是高风险的产品,信用评级机构都给予其2A以上的评价。一旦出现危机迹象,评级机构又迅速降低产品和公司评级,引起市场恐慌,对危机起到了推波助澜的作用。从评级机构的缺陷来看,传统的信用评级机制已不能准确地为经过多次打包、多次分割的结构化产品提供风险溢价参考, 在此基础上形成的交易价格是扭曲甚至是错误的。


主持人:

次贷危机后,无论是银行业自身还是监管机构都进行了反思,巴塞尔委员会也陆续提出了多项修改意见以加强市场风险管理,从危机中暴露出来的问题以及业界的管理变化来看,您认为在后危机时代可以从哪些方面加强市场风险管理?


丰习来 :

简要来说,银行可以从以下六个方面加强市场风险管理。

一是完善市场风险偏好,强化市场风险的边界管理。在理性创新,加快转型和发展业务的情况下,应健全我国商业银行风险管理体系,构建垂直化和专业化的风险管理架构,科学设定整体风险偏好和各业务的风险偏好。我国金融市场发展迅速,创新业务层出不穷,在此基础上,做好市场风险的边界管理,明确业务发展中不能碰的底线。具体可以首先确立风险偏好,明确市场风险的总体边界,然后通过多种渠道将总体边界细化贯彻到各个业务条线、业务层级和具体产品。如通过政策底线,明确客户边界,做好客户准入工作,从客户层面控制住风险;通过新产品审批政策,明确产品边界,做好市场业务的准入工作,在新增业务的源头上控制住风险。再如根据风险偏好和管理要求为分支机构、产品线和业务线配置经济资本,明确资本分配边界,结合风险调整后的资本收益率RAROC 等指标进行绩效考核;通过风险限额管理,明确业务办理和损失等边界,贯彻风险偏好和经济资本分配原则。

二是对金融市场业务要树立全面风险管理的理念。首先是要做好风险管理的分工与合作。在一定阶段,一定程度上自然需要对风险进行分类别的管理,但同时也要在既有风险管理条块框架下,要拓展特定风险的管理部门对其他风险的特性了解,管理信用风险的必须了解市场风险,管理市场风险的必须了解信用风险。同时,必须强化不同风险管理部门之间的合作,互通有无,及时掌握各种风险因子的现状及其可能的演变情况,提高对风险认识判断的把握能力。其次,要把风险管理覆盖到表内外,尤其不能在表外从事无法控制风险的业务,牢牢吸取次贷危机中表外业务的惨痛教训。最后,集团内部不同的机构之间、国内机构与海外机构之间、总分行之间均存在与市场风险相关的业务,市场风险并不仅仅是资金交易部门和市场风险管理部门的事情,要把市场风险管理的范围扩大到相关的机构,确保不留空白和死角。

三是强化流程管理。简单地等业务都做完了才去盯市场的变化,这样的风险管理是无法满足市场管理需要的。为了从源头上控制住市场风险相关的风险可以建立平行作业的流程,在业务办理前、中、后都有相应的人员来控制住相关的风险;要把政策、计量、监控嵌入到业务的全流程之中,实现业务与风险管理的无缝接轨;鉴于市场业务的庞杂性,流程管理的实现还有赖于IT 系统的开发,通过IT系统实现授权准入、业务跟踪等流程管理,可以有效减少操作风险。

四是以实施新协议为契机,夯实市场风险管理的基础。次贷危机之后,巴塞尔委员会对新协议做出了很多修改,新协议的实施有望带来市场风险管理脱胎换骨的变化。2010 年,主要国内银行将陆续进行新协议的实施与申报,在中国银监会的大力指导和支持下,中国银行业新资本协议实施工作按照监管要求与总体规划,正在积极探索,稳步推进。这是国内市场风险管理能力提高的一次难得的发展机会,我们应该借此契机大力优化市场风险管理的组织架构、全面树立市场风险涉及的领域和范围、提高市场风险的计量能力、建立市场风险的IT 支持、将新协议监管要求与内部管理紧密结合。

五是降低外部评级依赖性,提高自主研判能力。市场业务所面临的道德风险是非常严重的,次贷危机中评级机构的拙劣表现以及高盛等机构涉及欺诈等实践充分说明,不能盲目的依赖评级机构和交易对手的推销而开展业务。要改变这种状况,在短期内,首先要改变对评级机构的盲从心态,加强对评级原理和过程的学习,结合自身的研究分析对评级结果进行科学判断和持续跟踪,最大限度地降低对外部评级结果的盲目依赖。长期来看,必须大力发展银行的内部评级,建设包含相互独立的债务人评级和债项评级的二维内部评级体系,审慎评估违约风险暴露、违约概率、违约相关性、违约损失率等参数。

六四持续改进计量模型,审慎运用模型结果。与国外相比,国内的市场风险计量模型大多为外购,由于风险计量模型所需要的历史数据积累时间短且不完整,通过外包建立的技术和模型与我国特有环境需要一个长期磨合过程,其准确性尚待检验。迄今为止,本次金融危机中损失最大者几乎全是顶尖金融机构。虽然这些机构雇用大批专家运作高度复杂的风险模型,但计量模型缺乏前瞻性、未对极端条件进行分析等缺陷仍很严重。通过金融危机的教训,我国商业银行在内部评级体系和风险计量模型建设中,应综合考虑多种因素,结合专家判断、定性判断、压力测试等技术方法,提高模型预测能力和前瞻性,审慎地运用模型的结果,防止低估风险。在加深模型理解、提高模型适用性的同时,更应该重视定性分析的作用,实现定性分析与定量计量的有机结合。


主题二:银行内控合规管理与网络信息安全管理


主持人:

当前,金融风险管理进入新时代,Fintech给金融机构带来了极大的冲击,我国银行自身信息资源与网络数据体系的有机结合, 有效推动了银行业发展的大数据时代。请问,您怎样认识银行信息与网络安全的重要性?


丰习来 :

在互联网浪潮方兴未艾的大背景下,人类社会进入了数字化、网络化、智能化的新时代,随着云计算、大数据、区块链、人工智能等新技术的不断发展和应用,人们的工作方式和生活方式发生显著变化。信息技术和金融行业的不断融合,催生了一种新型金融业务模式——金融科技,我国金融科技的发展是十分迅速的,在全球范围内处于第一梯队。它为客户提供便捷高效的服务体验,极大促进了金融创新,同时也提高了金融服务质量和效率。金融和科技之间的融合不断加深,银行信息与网络安全的机遇和挑战并存。

然而,金融科技也给银行信息与网络安全带来严峻挑战。随着业务的种类及复杂程度的增加,银行的业务交易突破了时空的限制,从而越来越依赖系统和网络拓宽客户、产品、区域、渠道。银行是金融业的重中之重,在国家金融体系处于核心地位,“牵一发而动全身”。而银行信息与网络安全是银行业务开展的基础,是银行安全稳健运行的保障,事关国家金融安全乃至国家安全。因此,加强内控合规管理,构建银行信息与网络安全的有效防线,保障金融安全可谓迫在眉睫、势在必行。


主持人:

为适应金融业的需要,各家银行都投资建网。同时,党中央也高度重视国家信息安全,特别成立网络安全和信息化领导小组。全国人大制定《中华人民共和国网络安全法》,从法律层面保障网络安全,保护公民、法人等合法权益。银监会在发布《商业银行信息科技风险管理指引》之后,又将信息科技风险管理纳入全面风险管理的范畴。那么,您认为新形势下银行信息与网络安全面临哪些严峻挑战呢?


丰习来 :

随着金融和科技之间的融合不断加深,银行面临的风险也从网点不断延伸,既有外部的网络攻击,还有内部管理的漏洞,导致网络攻击、信息泄露、系统中断等事件时有发生,形成巨大的损失。当前,银行信息与网络安全面临的挑战主要有四点。

首先是银行对系统和网络的依赖程度逐步提升。伴随着我国商业银行电子化建设的发展,我国已经实现了对公、储蓄、结算等传统业务的电子化,同时网上银行、自助银行等新型业务不断出现,使得金融电子化成为银行赖以生存和发展的基础。随着银行业对计算机网络系统的依赖程度增加,金融产品不断创新,网点不断增加,网络安全管理问题就变得越发重要。  

其次,外部人员和机构针对银行系统和网络的侵害越来越严重。据统计,国内银行一年遭受的网络攻击次数就高达上千万次。一是病毒木马不断翻新及快速传播。网络病毒传播速度之快、危害之大令人吃惊,网络给病毒的传播提供了很好的路径。目前针对网上银行的木马程序、密码嗅探程序等病毒不断翻新,通过盗取客户资料,直接威胁网银安全。特别是近期流行的一些蠕虫病毒、勒索病毒,更是防不胜防,造成全球恐慌,形成巨大损失。如,2016 年3 月黑客在银行系统安装恶意软件,通过国际银行结算系统SWIFT 从孟加拉银行盗取8100 万美元。二是网络攻击目的和手段多样化。除了使用SQL 注入、DDOS 等传统攻击方式外,还发动了APT 等新型攻击方式,使得银行沦为APT 攻击重灾区。三是黑客攻击已经产业化并不断发展壮大。他们以经济利益为目的,从敏感信息的收集与贩卖,到伪卡制卡,甚至网银木马的量身定制,都可以在网络上找到相应的服务提供商。由过去无目的、单兵作战,甚至已经转为集团化攻击。

然后是银行内部管理不足导致信息泄漏问题更加突出。一是第三方泄露客户信息。由于利益诱惑,加之银行对外包人员行为管控不严,导致出现外包人员泄露客户信息的现象。如:在银保电话保险推销中,一些中小银行外包的后台支援中心以几元不等的价格出售客户资料进行牟利。二是银行员工泄露客户信息。银行员工拥有工作便利,很容易为了经济利益窃取、出售或非法提供客户个人信息。一旦不法分子掌握了泄露的银行信息和数据,将可能发生冒用身份开展电信诈骗,或者通过猜密码直接盗窃客户资金等违法活动。如,某国有银行客户经理曹某,通过征信查询系统向作案人提供了多达2318份个人信息,某股份制银行信用卡中心风险管理部贷款审核员胡某就曾向作案人出售个人信息300 多份。

最后是系统中断事件屡有发生、造成损失巨大。一是系统中断造成的直接损失巨大。大量的人力、财力和物力将被银行投入以应对业务中断或信息安全问题,这直接体现为巨额的成本支出。二是系统中断造成的间接损失难以估量。具体体现在银行为安抚客户而进行的赔偿和让利,业务量减少、客户流失,以及由此产生的声誉影响等。银行系统与网络一旦中断,不仅侵犯了消费者合法权益、带来客户资金损失,而且还将给银行经营和声誉带来重大影响。如2014 年7 月,某城市商业银行核心系统数据库出现故障,导致存取款、网银、ATM 等业务全部中断长达37个多小时,期间只能手工办理业务。


主持人:

经过您的一番介绍,我们体会到当前银行面临的信息与网络风险之复杂。您提到银行对系统和网络的依赖性逐步提升,主要体现在哪些方面呢?


丰习来 :

一是交易渠道电子化。据银监会在《中国银行业信息科技“十三五”发展规划监管指导意见(征求意见稿)》中披露的信息,银行业电子渠道高速增长,截至“十二五”末期,主要银行机构的网上银行、手机银行账户数已达21.6 亿户,主要电子交易笔数替代率平均达到72.1%,其中,手机银行在主要电子渠道交易占比5 年内增长了43倍,ATM、POS 交易也保持了较高的增长速度。银行的交易渠道逐步从柜面渠道转变为电子渠道,产生了电话银行、网上银行、手机银行、微信银行。客户办理业务也不断发展,由网点柜面转向网上银行、手机银行等电子渠道。

二是业务处理系统化。当前,信息系统取代了手工作业模式成为业务开展的重要承载平台,业务模式、营销模式、管理模式方面发生了巨大转变,交易过程及结果全部通过信息系统实现。

三是系统建设规模化。银行系统之间的关联性很高,牵一发而动全身,一旦其中一个系统出现问题,其他系统也难以继续工作。早期,银行是单机作业。随着以客户为中心、细分市场、金融创新、决策支持、风险防范等业务需求的升级,信息系统建设迅速发展壮大,已演变成目前跨地域、7×24 小时运行、上万台电子设备同时运行和承载上百个业务应用的大型信息系统。银行各项业务对系统和网络依赖的程度大幅提升后,信息与网络安全问题尤为重要。


主持人:

您提到银行信息与网络安全包括系统安全、应用安全、数据安全、物理环境安全等方面的内容,其威胁主要来自机构内部、互联网、外部人员和机构、灾难性事件等。那么,面对这样复杂多样且分散的风险源,银行应当怎样开展有针对性的风险管理工作呢?


丰习来 :

的确,信息与网络风险为银行带来严峻挑战,我认为银行相应的风险管理工作应立足于“三道防线”,分别履行主体责任、管理责任、监督责任,在前中后台各个部门参与下,共同发挥作用。

第一道防线是各个业务应用部门、信息技术部门下辖的开发中心和数据中心,履行信息与网络安全管理的主体责任。其中,业务应用部门提出业务系统建设安全目标,按银行统一的管理政策和方法识别、评估、缓释处置、监控、分析、报告各业务领域信息与网络安全风险,识别本业务领域内客户敏感信息和经营敏感信息,制定业务应急预案,配合开展业务连续性应急演练和应急处置;信息技术部门下辖的开发中心和数据中心各自负责管理开发、测试、运行中的信息与网络安全。

第二道防线是信息技术部门、内控合规部门以及与信息网络安全管理相关的人力、财务、采购、总务、安保等中后台管理部门。其中,核心部门是信息技术部门,它牵头负责信息与网络安全的管理体系和技术体系的建设,从组织架构、制度流程、信息系统、支持保障等方面推进相关工作;内控合规部门负责推动合规理念宣导,实施合规性审查,开展合规监测和合规检查,组织推动业务连续性管理。这些部门分工明确,共同履行管理责任,负责制定职责范围内的管理制度、流程、标准和工具,开展工作并定期报告。

第三道防线是审计部门,负责监督第一、二道防线信息与网络安全管理工作,履行信息与网络安全管理监督责任,针对信息与网络安全事件执行专项审计,揭示和发现问题并提出管理建议。


主持人:

如您所说,内控合规部门是第二道防线的重要力量,那么,我们应如何加强银行的内控合规管理,守牢信息与网络安全底线、保障业务连续健康发展、维护消费者权益呢?


丰习来 :

保障银行信息与网络安全,银行可以从五个方面加强内控合规管理。

一是加强信息与网络安全方面的理念宣导和人才培养。对外,提升客户安全意识,针对银行客户推动相关部门加强信息与网络安全的宣传和引导,通过收集典型案例宣传网络钓鱼、电信诈骗等风险防范知识;提高客户风险防范意识和能力,推动相关部门引导客户采用多因素认证、生物识别(指纹、虹膜、语音)等先进身份认证技术,同时引导客户形成不点击陌生链接、不乱装来历不明软件、妥善保管密码等安全使用习惯。对内,做好银行相关员工做好信息与网络安全的教育和培训工作,一方面是培养信息和网络安全的专业技术人才,协调制定有关信息科技风险管理策略,为业务部门和信息科技部门提供建议及相关合规性信息,提升信息与网络安全防护能力;另一方面是使员工了解信息安全的重要性以及其职责范围内的信息保护流程,规范员工的日常工作行为。

二是从源头堵住风险漏洞,加强新系统、新制度的合规性审查。一方面加强与银行信息与网络安全相关的新制度的合规性审查,从岗位设置、人员配备、授权和审批、沟通与合作、审核和检查等方面对信息与网络安全工作提出审查要求。特别地,提出不相容岗位分离、定期轮岗等管理要求要将管理客户信息的岗位视为重要岗位,确保新制度严格落实内部控制相关标准。

另一方面介入新系统开发流程中,在系统正式上线推广前开展合规性审查,重点审查新系统中各类威胁信息与网络安全的风险是否得到准确的识别、防范,以及是否形成适当有效的应对风险的控制措施。

三是加强识别、评估和监测,及时发现信息与网络安全事件。在交易执行前,做好客户身份识别和认证。根据不同的应用场景,结合大数据对客户的位置信息、活动规律等,建立一个多维度、分层次的身份识别体系,可以便捷、精准地实现客户身份识别和认证,防止出现冒用客户身份办理业务的情况。

在交易执行中,做好交易真实性的分析和判断。利用大数据分析客户行为和交易特征,建立反欺诈模型并建立相应的信息系统,实时监测各类业务交易的执行情况,发现异常交易行为,及时提示客户并积极处置风险隐患。

四是加强合规检查,加大员工违反信息与网络安全的处罚力度。一方面对合规检查发现的违规问题进行处置,大力培育“主动合规、全员合规”的文化氛围。采取多种手段和方式对违规机构和人员进行问责,达到“违规必罚、违规重罚”的震慑效果。

另一方面加强常态化的合规检查机制,确保针对系统岗位的内控措施有效执行,开展针对系统重要岗位的强制轮岗、离岗注销等关键部位的常态化监督检查;通过调取录像、调阅资料、扫描系统等方法,及时发现银行员工通过手机拍摄客户信息、或者未经客户授权查询征信系统截取客户信息等违规行为;推动相关部门定期对银行的各类设备进行安全检查,确保所有终端设备安全运行。

五是加强业务连续性管理,增强小概率事件的风险防范能力。在全行统一的业务连续性管理体系框架及业务恢复策略下,指导并推动信息技术部门加强信息科技业务连续性管理工作。


主持人:

您提到加强合规检查要大力培育“主动合规、全员合规”的文化氛围,我们知道,建立风险管理文化知易行难。请问,应当如何建立这样的文化氛围,将风险管理真正落到实处呢?


丰习来 :

好的合规文化实际上是保护银行全体人员的利益,我认为银行可以从以下几点做起:

一是建立一套切实可行的战略和战术。好的合规管理,不是局限于对每一项具体业务合规的管理,而是对公司整体业务发展战略等全局性的问题进行研究,并提出一个合规管理框架,以使公司的整体业务处于安全之中。如,建立合规风险监测指标体系,收集、筛选可能预示潜在合规问题的数据,如消费者投诉的增长数、异常交易等,按照风险矩阵衡量合规风险发生的可能性和影响,确定合规风险的优先考虑序列。以规范的形式确立合规管理框架,为公司的发展指明方向。

二是使风险导致的损失与每一个人的切身利益挂起钩来,高级管理人员实行持股制度是一个比较切实可行的措施。银行每一个业务部门的负责人如果是公司的股东,他在进行有关业务决策时,就不会只考虑公司当前的利益和自己当年的奖金,而且还会考虑公司长远的发展和公司股票的长期升值。因此,在决策时他就比较理性,不会触犯合规底线。

三是建立相互制约的管理体制。如果没有好的合规风险管理体制保驾护航,再好的合规文化都会成为一纸空文。具体到操作层面,业务的操作按职责严格分开,合规部门和业务部门要有同等的待遇,报告体系要分开。合规文化建设不是合规部门几个人的事情,而是整个银行全体员工共同的职责。


主持人:

在加强内控合规管理的具体措施中,您在最后一点提及银行业务连续性管理,我们知道,业务连续性管理是一项综合性的管理活动,可识别商业银行业务经营过程中所面临的潜在风险,评估风险可能对业务经营造成的影响。请问,银行具体可以从哪些方面做起呢?


丰习来 :

首先,要推动开展信息科技风险评估,及时定位并管理信息与网络安全中的关键风险点及薄弱环节;加强对基础环境(机房、供电等)的监控与管理,防止因基础环境故障导致的大面积信息系统安全生产事故;加强“冷热备”等资源建设,提高信息系统自身的高可用性,减少信息、系统、应用及网络的故障发生。

其次,要推动建设信息系统应急预案并开展演练,保证突发事件发生时能迅速开展系统修复并恢复业务运营,做好与业务部门应急预案的对接并加强联动演练测试等。

再次,要推动建设“两地三中心”灾备体系,实现大规模系统灾备切换的自动化以及重要信息系统灾备全覆盖,有效缩短灾难场景下的系统及业务恢复时间,降低因版本投产及升级维护造成的计划内业务停机时间,实现同城及异地灾备、有效应对各等级的灾难场景,技术与业务联动,保证业务运营的安全性及连续性。对银行来说, 灾备体系建设是一个长期、全面、持续完善的过程。


丰习来

建银国际执行董事兼行政总裁。1984年加入中国建设银行,任职于中国建设银行国际部。1995年至1999年加入中国国际金融有限公司(中金公司),该公司由中国建设银行与摩根史丹利合资。丰先生作为建设银行方人员进入中金公司,参与中金公司早期的筹建工作及业务交易,先后任职于中金公司司库部、销售交易部。1999年至2009履职中国建设银行资金交易部副总经理、金融市场部副总经理。2009年至2013年任风险管理部副总经理兼市场风险部总经理。2013年至2016年期间担任中国建设银行(伦敦)有限公司执行总裁。2016年10月至2019年1月期间担任中国建设银行内控合规部总经理。2017年至今兼任建行(巴西)董事长。丰先生获中南财经政法大学学士学位,中国人民大学金融学硕士学位。


文章分类: 动态新闻
分享到: