中国银行业协会赵成刚：金融机构需构建完善的测试管理体系

ZDNET至顶网CIO与应用频道 11月04日 北京消息（文/王聪彬）：中国银行业协会系统服务部主任赵成刚在中国金融行业IT解决方案研讨峰会上介绍了中国银行业协会系统服务部主要关注银行业公共服务、IT信息分享两大部分。

“信息科技和金融业务已经高度融合，成为金融机构打造核心竞争力实现可持续发展的关键项支撑要素。”赵成刚认为，信息科技的安全运行和健康发展直接影响着金融机构的稳健经营。

赵成刚指出，希望把测试的管理体系进行完善性构建，同时测试要有相关的体系进行有效的融合。同时也非常希望外包公司和金融机构展开更好的合作，在整个测试服务过程中，一方面注重金融机构自身能力的提升，另一方面注重整个测试体系知识体系的转移。

中国银行业协会系统服务部主任 赵成刚

以下为演讲实录：

非常高兴参加咱们专业的一个活动，我是中国银行业协会系统服务部的，我们主要关注两块，一个是银行业的公共服务，第二块是IT信息分享这块。今天主要是三方面内容跟大家交流一下，一个是我们对信息科技风险防范现状和挑战，这也是我们从事测试管理的同志非常关注的一点。信息科技风险防范在我们行的定位理解，前几年我们更多认为IT是我们一个增长的动力或者驱动力或者基础框架，这两年更多看到的是信息科技和我们金融业务高度融合，已经成为了金融机构打造核心竞争力，实现可持续发展关键性的支撑要素。各个行的金融机构已经高度认可，同时这两年我们也看到信息科技的安全运行和健康发展直接影响着金融机构的稳健经营，关乎着企业声誉和金融安全、社会稳定。信息科技风险的影响已经远远超出了我们认为信息科技是个支撑的部门，现在放到企业声誉，银行的企业声誉包括我们现在的金融安全，特别是今年以来大家看到钱荒时代，钱荒时代由于科技部门的事情，有可能把信息科技风险放的非常大。

在这个阶段看到业务系统高度整合，同时我们信息的高度集中，在这两个层面下，我们的系统环境越来越复杂。以前可能大家关注的是一个点，现在更多的是由点到线，由线到面的问题，信息风险集中度增加，系统对业务的承载新决定了其风险水平。我们看巴赛尔协议没有把信息科技风险提出来，但是这两年科技部把信息科技风险作为一个要点来抓。科技先甚至成为唯一可能使银行业务在瞬间全部瘫痪的重要风险，以前到这么高程度提是没有的，这个是去年银监会提出的。现在看到信用风险、流动性风险都有一个处置的时间，唯独一点，信息科技风险是唯一可能使你当下就瘫痪的，这样的话，也造成我们很多科技主管部门领导，其实我们身上的责任担子非常重，压力非常大，来源于此。

信息科技风险在当前以及未来较长一段时间之内，是我们面临的重要风险领域之一。我们现在看到的银行业金融机构的信息科技风险的特点有这么几个特点，一个是银行信息科技风险专业性非常强，涉及的技术领域非常广，同时非常复杂，是业务、技术、管理相结合的一种风险，有很多时候包括做测试也好，做什么也好，不单只是一个技术问题，更多是业务、管理、技术三者的结合。它同时具有这三者专业性的特点，由于这三者之间的交互关系以及服务链条的延伸，又派生出很多新的特性。我本身很多年一直做银行工作的，从工行出来以后也非常关注这个，以前我们做的一个是业主自身的测试或者很多是外包测试，由于这个服务链条的延伸，又出来很多新的特点。这几年随着我们对银行业务的要求，监管要求，这样链条越长，你的问题存在隐患的环节就越多。

我们现在看到几个挑战，我们日常在科技风险管理，测试我认为是一个重要的环节，有这么几个挑战。一方面我们现在各个机构大小金融机构包括银行以及我接触到的一些券商，包括基金公司、保险公司都在提转型，特别这两年，国家在转型，我们过去同业化竞争已经非常激烈，这时候都在提转型，差异化。这两点造成业务线条持续的扩展，我们现在看到各家金融机构的业务链条，新的链条越来越多，不同特点，不同来源的业务子系统与整体系统的集成整合中，要关注单一系统可靠性与整体系统稳定性之间的平衡，以及对安全可靠的要求，这是我们在信息科技风险管理中面对的重要挑战，不只关注单一系统，更要关注整体系统。

第二块我们在业务持续创新发展中，很多业务是探索性业务，在创新发展过程中就存在着业务自身以及管理体系不断提升的迭代。在不断提升迭代过程中，同时存在着多个子系统的并发迭代，这个对我们管理要求是非常高的。可能我们在座的做技术也好，做什么也好，包括从我这看到很多案例，我们每个点上做的很好，但是这些点集中在一起会出现很多问题。我们说多子系统不断迭代过程中，对我们管理的一个挑战。

第三个就是我们很多中小金融机构由于自身资源上的约束，我们很多时候对核心技术的掌控能力是比较薄弱的，大量的工作存在是外包，而外包机构在中国发展的非常快速，也非常多，今天咱们参加这个文思海辉也是一个比较大的外包公司。由于多家外包公司，这样对外包的管理中间存在两块，一个是信息、技术不对称，如何加强对外包的管理以及管理的规范，这个也是我们各家金融机构在科技风险防范面临的非常大的挑战。

现阶段我们看到的工作现象，我们也是从各个金融机构工作调研也好，或者在追踪过程中发现的，很多时候很多机构存在着建建设，轻管理，重开发，轻运维。以前由于各方面压力，我和很多科技部门的老总交流的时候，感受到，我们的资源受约束，任务要求时间非常紧，在这种情况下，优先把系统上去，而现在系统上去不要紧，上去之后如何保障持续稳定的运行，这个压力越来越大。这个实际上也是感觉到前几年大家更重建设的阶段，管理这个东西确实是薄弱的。同时在很多突发事件中我们看到，由于很多制度，科技部门的制度像测试这块工作我也了解很多，我跟很多机构也了解，确确实实感觉它还是在技术方面考虑比较多，对包括咱们测试的制度，包括测试全流程的管理，以及我们信息安全防范，在这些领域确确实实制度上存在很多问题，流程也不完善。但是这些事情出了问题之后怎么办？出了问题打板子的一定是金融机构的从业者。不管你怎么说，外部机构、开发机构上去之后，出了问题，大家都可以走，就是金融机构实际的管理者你是逃不掉的，这块也是我们看到外包风险出现之后，我们如何进一步加强它的管理和防范。

上面是我对信息科技风险防范面上的一些思考，接下来是我对测试工作的一些思考，虽然我本身一直在从事金融科技方面的工作，但是测试工作这几年确实做的比较少。我简单的把我对测试工作的理解做点介绍，我认为测试是个工具和手段，测试本身不是目的。测试更多的是希望保障到我们系统的安全稳定运行，现在我个人感觉，现在几个关键词，我梳理一下，我们现在很多时候系统处于什么状态？我个人认为系统是个可用状态，我们现在各家金融机构系统，我认为它是一个可用，我们能用，可用意味着什么？意味着很多时候我们有些潜在的问题，隐藏的问题，带病运行。这个时候不知道什么时候会出问题，这是一个可用的状态。可用状态到可靠状态的转移，这个我是在和中国航天706做过一些交流，我了解比如载人航天他们对软件的质量控制体系的防范，我觉得有很好的借鉴意义。在载人航天里面他把软件的模块，一个模块等级化，对不同的模块测试的管理要求完全不一样。它的标准规范非常的严谨，而我们现在在整个金融领域这块是缺失的，这个状态是由可用到可靠的提升。这个可靠，我们虽然讲的是测试，我们叫金融软件测试，但是同时这个软件我建议咱们以后测试不单只是一个软件，要有软件外延的延伸。特别是这个软件基于的环境，因为可靠就存在于几大块，包括你整个系统整体的环境，包括你的运行环境、操作环境、应用软件管理，这是一个由可用到可靠的提升。一个可靠的系统是不是安全的？安全这个概念在金融机构对安全来说，内部你的制度是否健全，你整个管理体系是否健全，第二个能否防范外部的攻击，在这个层面上，还有一个可信的层面，这笔交易整个真实的状况是可信的，从这个角度来看，我认为整个金融测试工作是两大维度，一个是技术维度，技术维度更多是工具和手段如何保障我们把测试工作做好，同时希望大家非常关注，包括关注管理维度，测试工作一个是要重技术，同时也要重管理。为什么重管理？因为测试是一个手段，我们目的是提升我们整个系统的安全可靠性，这是我对测试工作的一些思考。

最后提一些建议，一个就是测试工作包括我在银行也干了很多年之后，发现科技是文化的，我们现在也说企业文化，各家机构都在谈企业文化，我们有时候也在提，IT治理有一块IT治理文化，测试是有文化的，由过去自发性的工作变成流程式工作，演变成测试环境，同时测试体系需要完善性的构建。因为我们过去做技术的多，测试工作技术要求非常强的一个工作，技术越强的工作越容易陷入到点的思维方式。我们希望把测试的管理体系进行完善性的构建，同时测试要有相关的体系进行有效的融合。像今年银行业的监管重点包括网银，包括业务连续性，包括外包，这些和测试都是相关的，测试的体系如何和相关体系进行有效的融合，也是我们在工作中需要实际去思考的。同时我们也非常希望我们这些外包公司和金融机构展开更好的合作，在整个测试服务过程中，一方面注重金融机构自身能力的提升，同时要注重整个测试体系知识体系的转移。这个不是说我们金融机构自己能够把所有的测试工作全做了，但是希望一方面提高测试能力包括管理能力，同时建立有效的知识库和知识转移。这是我对测试工作的一些思考。

同时我们现在测试工作是刚刚起步的工作，我们希望看到行业领域的公共服务体系建设。我这个部门主要工作就是针对银行，特别是中小机构从事公共服务，我们非常乐于看到中小机构之间包括和外部合作伙伴之间，大家如何去构建行业领域的公共服务体系，这是一个需要大家去互惠互利的一个工作。第二块，行业领域的标准规范体系建设，我们现在看到很多技术标准规范是领先的，但是在管理也好，其他方方面面的标准体系还是非常滞后。特别是我看了一些军标，跟航天也好，从系统性这个工程来看，我们金融领域的标准体系严重滞后。第三块监督评价体系，这个监督评价体系我们也希望看到外包领域有适当的监督评价机制或者体系，因为现在外包机构非常多，非常繁杂，这么多外包机构他应该做的规范是什么，应该做的标准是什么，应该业内有一个统一的监督评价，我们希望在这三方面，包括我们的服务机构，包括我们的金融机构，在这方面可以多增加一些领域和协作。

最后提点建议，一个是提升认识，这个话在什么场合说都没错的话，但是如果想把工作做好，测试工作绝对不是一个底层技术工作，而是我们从信息科技防范的一个基石，一个基础，在这方面一定要提升认识，不但是技术方面的认识，更是管理方面的认识。

第二个方面是理顺关系，现在很多机构在纷纷建立测试部门，因为我和一些机构老总也交流过，测试部门定位到底是什么，在这里头理顺关系就包括理顺我们测试和开发的管理，包括测试和我们需求部门的关系，和风险部门的关系，和外包部门的关系。

第三个层面就是完善体系，要把整个测试体系融入到整个科技信息管理体系中。对测试体系完善。

培育能力，在整个过程中，一方面是技术管理能力，第二方面是我们的测试管理方面培育自身的能力。

最后一个层面就是强化教育，教育知识的传递，只有把测试工作传递到我们测试中心也好，开发中心也好，需求部门也好，方方面面要多做教育培训的推广。我简单的提这么一些建议，谢谢各位！