1.2.2  商业银行信息系统研发风险

对商业银行来说，由于所从事行业的特殊性和敏感性，其信息系统不但具有普通信息系统的各类复杂性，而且具有自身独特的特点。

（1）安全稳定性要求高，安全形势变化快 商业银行信息系统所承载的业务服务和数据都很重要，一旦受到破坏将对商业银行及其客户的利益造成严重损害。因此，商业银行对信息系统的安全性、稳定性要求很高。但随着IT技术的发展和互联网开放程度的加深，信息安全技术得到迅速发展，近几年黑客攻击的主要方向由网络攻击转向应用层攻击、APT攻击，迫使信息安全防护工作从过去的网络、系统层安全加固转变为应用层、研发阶段的安全加固，而未来这些攻防技术演变仍将继续，且有愈演愈烈的趋势。

（2）信息系统种类繁多，技术复杂 商业银行的业务范围涵盖资产、负债、中间业务等多个领域。随着业务的快速发展，商业银行信息系统的种类和数量也在不断增加，且随着需求的变化和技术更新不断发展变化。这些信息系统采用的开发语言不同，平台和架构也不同，又具有较强的关联关系和技术复杂度，安全设计复杂度也很高，对研发风险管控工作的统筹开展提出了挑战^[9]。

（3）管理要求来源多样化，管理复杂 当前，商业银行信息系统安全的重要性日益凸显。在信息系统的开发和运行过程中，商业银行面临着多方面的监管要求。这些要求既有行内的，也有行外的；既有监管机构的，也有信息安全业界的；既有管理要求，也有技术要求。同时，这些要求的来源不同，侧重点和细化程度不同，甚至有的相互冲突，给研发人员造成一定困扰，亟待统筹规范^[9]。

（4）监管检查频繁，整改成本高 为加强对商业银行的风险管理，人民银行、银监会等监管机构发布了一系列指引，其中包括了信息系统研发相关的合规性要求。这些要求也是监管机构进行检查的重点，如果未能在研发阶段落实，信息系统上线后仍需进行整改，将增加不必要的成本和变更风险。从根本上说，这些合规性要求也是为了提高信息系统的安全性。因此，研发风险管控工作将这些合规性要求纳入考虑范围之内。

（5）广泛使用外包开发，外包风险较高 目前我国商业银行信息系统的研发模式有自主研发、合作开发、外包和外购几种。大型商业银行一般以自主研发为主，并有少量外包和外购系统；中小商业银行广泛采用合作开发、外包、外购方式；农村金融机构则主要采用外包、外购或者依托其金融机构股东的信息化设施。在外包或外购过程中，信息系统的研发过程存在多种不可控风险，如系统存在安全漏洞、系统留有后门等。因此，有必要将外包风险纳入研发风险管控工作范围之内。

（6）生产运行风险集中，运维安全需求前移 从信息系统生命周期看，生产运行约占整个信息系统生命周期的80%，而在银行信息系统研发过程中，对软件、数据及通信等方面的风险重视往往大于生产运行风险。另一方面，数据大集中也形成了生产风险的高度集中。很多早期投产的系统，缺乏有效监控和运维手段，导致在系统运行过程中带来诸多风险和不足，如缺乏有效的运维工具，故障响应、判断和解决时间过长，或者直接登入后台生产系统查询，操作风险较高等。生产运行稳定是信息系统投产的前提条件之一，很多生产运行中存在的风险，在研发过程中加强安全设计即可防范。

如前所述，信息系统研发风险是在信息系统研发阶段可能引入的，导致信息系统安全问题的风险。信息系统研发风险的产生与信息系统研发的复杂性、系统结构的复杂性和运行环境的复杂性等有很大关系。由于商业银行信息系统具有自身独特的特点，在商业银行研发风险管控工作过程中，除了要关注常见的安全设计风险、系统漏洞风险、变更维护风险外，还应重点关注合规性风险和外包风险。