前言:寻找写作灵感?中文期刊网用心挑选的商业银行信息科技风险管理,希望能为您的阅读和创作带来灵感,欢迎大家阅读并分享。
移动互联、大数据、云计算、人工智能等一系列前沿技术与商业银行的业务创新深度融合,为客户提供了“适时而在”甚至“无时不在”的金融服务,信息科技已全面融入银行业务经营的每一个环节,同时,与之相关的信息科技风险已日益成为影响商业银行业务发展的重要因素,这对信息科技风险防控提出了更高的要求。本文基于信息科技风险管控难点分析,探究信息科技风险管理对策。
一、银行业信息科技风险的主要特征
信息系统安全运行是商业银行业务正常开展的重要保障和基本前提,关乎商业银行声誉、金融安全和社会稳定。表1是近几年的信息科技风险事件案例。信息科技风险的特殊性如下:一是广泛性。信息科技风险广泛地存在于信息系统、部门、业务、员工和外部事件中。二是易扩散性。银行服务对象复杂、分布广泛,所提供的金融服务与个人、企业利益乃至国民经济息息相关,一旦发生重大信息科技事件,会引起一系列的连锁反应,对银行声誉造成较大的负面影响。三是复杂性。引发信息科技风险的因素复杂,如系统的升级改造、生产运维、制度流程、人员操作、自然灾害、突发事件等,使科技风险更趋隐蔽性和复杂性。四是隐蔽性。在特定外部环境下安全隐患容易被忽视,但会随着环境变化逐步暴露出来。例如,系统中的漏洞在某种特定条件下被不法分子利用,或内部操作、管理流程漏洞被内部人员利用等。五是变化性。随着信息技术水平的不断提高以及业务创新的不断深化,信息科技风险的表现形式也在不断发生变化。六是损失难以准确计量。信息科技风险产生的损失包括直接财务损失和间接损失,但目前仅用直接损失金额计量,远远低估了信息科技风险给银行带来的影响。
二、银行业信息科技风险管理架构
银行业信息科技风险管理的“三道防线”建设,体现了科技、风险管理、审计三个部门之间相对独立、有效分工、适当交叉、合理覆盖、多级监督、信息共享、协同开展的信息科技风险管控工作机制。第一道防线是指信息科技治理,由科技部门承担信息科技风险的直接管理责任,以风险控制的视角开展事前控制目标和预警指标制定、事中流程技术控制、应急处置、事后全面分析,以及现场或非现场的检查等工作。第二道防线是指信息科技风险管理,由风险管理部门和内控合规管理部门负责。风险管理部门将信息科技风险纳入全面风险管理体系,建立信息科技风险的控制标准和分类分级标准,对信息科技风险评估、监测、报告和计量。内控合规管理部门对信息科技制度建设、内部控制、合规管理及尽职监督检查和评价。第三道防线是指信息科技审计,审计部门按监管要求和风险状况,以独立的第三方立场开展信息科技审计,检查评估科技部门风险管理、内部控制的充分性和有效性,促进科技部门完善风控和内控机制。
三、商业银行信息科技风险管理难点
1.信息科技风险管控边界定位认识存在差异
在信息科技风险管理过程中,科技部门存在“重开发运维,轻风险管理”的思想,认为工作重点应放在加快信息化建设和做好系统运行管理方面,风险识别、控制和检查监测是第二道防线的事,作为第一道防线,不能由自己检查自己、自己监督自己;或是认为风险管理只是事后独立的检查监督,应由第二道防线部门独立实施。这些观点存在三方面问题:一是没有认识到各道防线都可以运用风险识别、控制和检查监测来实现信息科技风险管理目标;二是没有认识到将各种风险控制措施内嵌到日常管理活动中,可以实现更有效的事中风险控制;三是没有认识到有效运用风险管理方法,可以控制各种风险的威胁和影响。在信息科技风险第二道防线管理中,检查监测主要着眼于事后查找问题,无法在事前和事中管控信息科技风险;信息科技专业性较强,检查监测只是“走走形式”;或是根据职责划分,过度追求“发现的风险越多越好,科技部门对风险问题的整改越快越好”。这些观点同样存在三方面问题:一是没有认识到事前和事中管控信息科技风险的重要性;二是没有认识到应将各种风险控制措施与第一道防线专业管理流程紧密连成一体;三是没有认识到信息科技风险管控重点和考核导向,难以充分发挥信息科技风险管理的价值,因此,造成信息科技风险管理工作重点不突出、考核管理导向偏差、工作效率不高等问题。
2.信息沟通和分享缺乏完善的途径
从科技部门绩效考核角度来看,客观准确地反映信息科技管理中的风险“不利于”绩效考核结果,因此,科技部门内部往往以“半封闭、半遮掩”的方式应对第二道防线部门的信息科技风险监控检查工作,人为掩盖风险隐患或事件,对于能够在内部消除的风险隐患不能主动充分揭示,漏报、少报、小报信息科技风险隐患,或者低报真实的风险状况,导致部门之间信息不对称;在监控检查过程中提供的信息科技资料内容简单、内外有别,未能真实、充分反映信息科技风险暴露情况。科技部门长期处于“半封闭”的运行状态,造成第二道防线部门无法真正了解信息科技风险总体状况,缺乏有效监控。在日常运维过程中,科技部门还存在用技术性问题掩盖管理和人为操作错误的情况,导致风险隐患的根源问题得不到彻底解决或没有在事前或事中进行有效控制。同时,这些信息科技风险事件和隐患信息没能及时、充分、有效地传递到第二道防线部门,导致其无法对该类事件和隐患进行统计、分析并给出防控建议。
3.第一道防线内部信息科技风险管理职责不明晰
科技部门内设的系统、网络、机房环境、应用、运维等各信息科技子专业科室认为,信息科技风险管理职责应由信息安全管理科室承担,而信息安全管理科室则认为应由各信息科技子专业科室承担。角色不到位、职责认识不清使得各科室信息科技风险责任难以明确,资源不能有效整合,风险管控质量和效率难以提升。
4.第二道防线部门的信息科技风险理念传导、培训不足
信息科技风险管理专业性强、涉及面广,监控人员需要具备一定的信息科技专业知识和综合实践能力。第二道防线部门缺乏具有科技专业的信息科技风险监控人员,难以有效、独立承担信息科技风险的防控和合规操作监督管理职能。一是信息科技风险理念的传导和监控手段培训不足,导致第二道防线部门机械性、形式化、应付了事地开展信息科技风险监控,缺乏主动性和创新性,现场检查走过场,监控质量低,达不到监控效果;二是对信息科技风险监控要点补充和更新滞后,目前信息科技技术快速持续发展,信息科技各领域风险不断变化,部分信息科技风险点已不再适用,新的信息科技风险点又未纳入风险监控点,导致监控点与实际脱节。
四、商业银行信息科技风险管理对策
1.运用风险管理的方法科学管控信息科技风险
(1)确定合理的风险管理目标和容忍度
风险容忍度决定了信息科技风险管理的策略、重点和控制强度。商业银行要建立和完善信息科技风险容忍度指标管理体系,对信息科技风险实行容忍度管理,关键的信息科技风险容忍度指标要纳入操作风险经济资本计量体系。例如,对全行性中断、省域性长时间及国家重大活动等敏感时期核心系统中断“零容忍”,但对于局部营业网点中断,只要合理引导客户,控制好声誉风险,可以有一定的容忍度。
(2)制定信息科技风险管理标准和策略
信息科技风险分类分级策略是信息科技风险管理的基准。商业银行要制定信息科技风险分类分级策略,对信息系统、信息科技风险、信息科技风险事件实行分类分级管理,统一信息科技风险管理的逻辑和语言。第一,对信息系统实行分级管理。按信息系统的重要程度划分为核心生产系统、重要生产系统、一般信息系统,各级信息系统实行清单制管理。第二,对信息科技风险实行分级管理。按风险发生频率和风险影响程度划分为高、中、低风险。根据风险级别制定相应的风险防范措施,比如高风险隐患应立即采取控制措施,中等风险隐患尽快采取控制措施,低风险隐患要在限定时间内采取控制措施等。第三,对信息科技风险事件(项)实行分级管理。按照影响范围、持续时间、发生时段、信息系统级别和损失等因素,将信息科技风险事件(项)划分为灾难性事件、重大信息科技风险事件、一般信息科技风险事件、信息科技风险事项。
(3)对信息科技风险进行计量和考核
将信息科技风险计量纳入操作风险经济资本计量体系,强化对重点领域操作风险计量,强化信息科技风险防控的主动性。按照操作风险高级计量法管理方式,建立信息科技风险计量方法、标准和模型,以业务环境与内部控制因素为基准,通过情景分析数据,制定中断时长与损失金额的转化标准,按中断时长计量操作风险经济资本。同时,根据监管要求和风险形势实施差异化风险计量考核,对监管部门专项治理领域,或是特殊时期、特定类型信息科技风险提高加计力度。例如,在特殊时期发生信息科技风险事件或发生特定信息科技风险事件均要大幅提高信息科技风险经济资本计量标准。
2.完善“事前、事中、事后”的信息科技风险管控机制
(1)以风险排查为主的信息科技风险控制阶段
第一道防线部门要按照监管要求,在信息科技关键环节设置恰当的风险管控措施。内设的信息安全科室要主动牵头各信息科技子专业科室,利用各类风险检查控制工具,严格落实风险防控的具体措施和手段,做好自查和检查。第二道防线部门要加强对信息科技管理制度、规范和监管要求的落实情况检查,重点是关键风险控制措施执行情况的检查和评估,并根据检查结果评估科技部门的风险管理水平。
(2)以技术控制内嵌管理过程的专业化管控阶段
第一道防线部门在信息科技建设中,要以风险视角和理念,将风险管控措施集成内嵌于信息科技管理中。一是要加强实时监测、预警和技术控制的主动风险管理;二是规范生产运行流程,落实风险管控责任制;三是采用自动化技术审核和分析生产系统日志,做好统计分析和评估;四是不断完善横向岗位制约、纵向权限制约的管理体系。
(3)以预防为主,完善信息科技治理的全面风险管理阶段
第一和第二道防线部门要共同承担信息科技全面风险管理职责。一是完善部门间横纵双线、统分结合的信息科技风险管理体系,清晰划分职责边界,有效制衡,发挥部门的专业优势,提高风险管理效率,实现信息科技全面风险管理;二是优化完善信息科技治理,在用户管理、数据管理、变更管理、配置管理、事件管理、应急管理、系统网络安全、信息保密管理、机房管理等领域设置监测要点,制定相应的检查计划;三是加强业务连续性管理,优化完善覆盖各技术领域的应急预案,定期组织实战演练,并根据演练和信息科技建设实际适时更新预案;四是第二道防线部门应从相对独立、专业化和系统性的角度加强信息科技风险管理,做好现场和非现场检查工作,深入分析和识别风险,对风险较高的信息科技领域进行风险评估,有针对性地实施风险管控措施。
3.完善信息科技风险信息的有效沟通和共享机制
(1)主动、及时传导风险管控理念
第二道防线部门通过会议、座谈、培训、风险提示等多种方式,及时将风险管理理念传导至第一道防线部门,提高全员信息科技风险意识。同时,要及时将信息科技监控报告、评估报告、信息科技内控评价报告、信息科技外包评价报告等通报第一道防线部门,加强信息科技风险信息横向沟通。
(2)主动、及时、充分暴露信息科技风险隐患
第一道防线部门将发现的风险隐患信息及时、充分、有效地传递到第二道防线部门,并及时将信息科技风险分析、检查、自评估报告,监管评级报告,审计报告和底稿,信息科技风险事件报告等通报第二道防线部门。第二道防线部门要参与信息科技日常管理,列席信息科技生产运行例会和重大科技事项会议,定期监测生产运行情况,实现信息共享和多维度综合评价,强化信息科技全面风险管理。
4.建立常态的信息科技风险评估机制,提高风险识别评估的及时性和有效性
(1)组建稳定的信息科技风险评估团队,实施评估专业化
评估检查团队成员要由风险管理条线、信息科技条线、内控合规条线人员组成,应覆盖机房、网络、主机、开放平台、应用、信息安全、信息科技外包、业务连续性等专业领域。信息科技评估检查团队要梳理重点领域的信息科技风险点,制定信息科技风险评估手册,明确评估方法和标准。
(2)建立嵌入流程并能自动触发的常态化信息科技风险评估机制
要将信息科技风险评估嵌入到信息科技管理流程中,以定期信息科技风险专项评估逐步转为以“嵌入式”和“触发式”评估为主。实行信息科技风险管理状况评级,评级结果纳入到操作风险经济资本计量考核体系和内控评价体系中。
(3)常态化开展信息科技风险自评估
科技部门要按季度、年度和专项开展信息科技风险自评估。在技术架构变更、基础设施建设、信息系统立项、系统变更或投产等关键环节要会同第二道防线部门进行风险评估,查找风险隐患和管理薄弱环节,优化风险防控措施。
5.完善信息科技风险监测系统,提高风险预警的敏感性
(1)建立和完善信息科技风险监测系统
设立信息科技关键风险指标,持续监测,按需调整,及时分析和实时预警。第一和第二道防线部门在梳理重点领域各流程环节关键风险的基础上,设立覆盖事前、事中、事后的信息科技风险指标和阈值,整合对接核心系统生产运行、网络安全、基础设施、应用系统等相关数据。
(2)实行信息科技关键风险指标的自动化监测
将核心生产系统交易量、交易成功率、核心及重要生产系统运行情况、重要系统可用率、投产变更成功率、监控覆盖率、应急与灾备覆盖率等系统及应用监控信息均纳入第二道防线部门日常监控范围,促其及时掌握第一手风险信息。
6.常态化开展信息科技重点领域、关键环节的风险评估和现场检查,防范重大信息科技风险事件发生
(1)加强信息科技生产运行管理制度和流程的评估检查
要落实监测、配置、容量、变更、问题、事件、日志等管理环节的风险管控责任,常态化开展信息科技生产运行管理制度和流程的评估检查。
(2)防范全行性或区域性运营中断风险和资金风险
以生产运行持续安全稳定为重点,防范因机房基础设施故障、软硬件故障、交易量超容、数据库异常、生产系统运行异常、违规使用系统接口等引发的全行性或区域性运营中断风险和资金风险。一是加强对机房基础设施安全保障的评估检查,重点对机房供电、网络通讯、空调、消防等方面的监控、安全保障及应急处置评估检查,防范机房因供电容量负荷不够、空调制冷量不足引起的设备宕机风险;二是加强对生产系统部署环境可靠性的评估检查,尤其要对核心和重要生产系统是否采用多活、集群、负载均衡的方式部署,是否存在单点部署的系统,是否定期开展系统和应用层面的切换演练等进行评估检查;三是加强对投产变更环节风险管控的评估检查,重点对投产变更的事前评估、事后验证、审批和管理流程、特护监控、异常回退、敏感时点投产变更等进行评估检查,防范因变更引发生产运行异常的风险;四是加强对信息安全管理的评估检查,对核心和重要生产系统漏洞扫描、互联网类应用系统渗透性测试等漏洞识别和修复情况,网银类系统网络边界加固措施、数据防泄密措施等边界防护情况,以及信息生成、传输、存储、访问、处理、归档、销毁等信息分类管理进行评估检查,防范信息被非法窃取的风险;五是加强对系统接口管理的评估检查,对使用或对外提供系统接口时,科技和业务部门的双重审查、验收以及报备、报批等进行评估检查,防止擅自或越权接入。
(3)加强信息科技外包项目的准入管理和风险评估
一是第一和第二道防线部门要对外包服务和外包服务商进行准入审核和风险评估。二是对信息科技外包项目实行分类风险管控,根据外包项目性质,分类确定外包风险管理策略和重点。对研发咨询类外包,重点关注科技能力丧失、服务水平下降、用工关系不清、交付产品质量不达标等风险;对系统运行维护类外包,重点防范服务中断、服务水平下降的风险,特别是重要系统的运维人员须有两名技术能力相当人员互为备份,确保服务连续性;对业务外包中的信息科技活动,重点关注信息泄露的风险,建立信息资产授权清单,按“必需知道”和“最小授权”原则确定访问权限,限制其对银行敏感数据的接触范围,并关闭数据下载和拷贝权限,防范客户信息泄密的风险。三是加强外包服务检查、评估和后评价,第一道防线部门应定期开展信息科技外包检查,充分评估信息科技外包对业务连续性的影响,制定重要信息科技外包的中断场景应急预案,并定期开展演练,同时,第二道防线部门应定期开展信息科技外包风险评估和后评价。
(4)加强信息科技风险评估检查团队建设
在开展信息科技风险评估和现场检查时,要由第二道防线部门牵头组织,评估检查团队人员应覆盖机房、网络、主机、开放平台、应用开发、信息安全、信息科技外包、业务连续性等专业领域。其中,第一道防线部门人员占比不低于50%,第二道防线部门人员占比不低于30%。
7.多措并举,塑造合规审慎的信息科技风险文化
通过考核引导、检查督导、培训辅导、宣传倡导,不断增强风险意识,塑造合规审慎的信息科技风险文化。一是通过容忍度、经济资本计量、风险考核等管理手段引导科技部门加强信息科技风险管理;二是在第二道防线部门配备具有信息科技工作经验的员工,强化信息科技风险监控,充分发挥独立性、专业化和系统性的风险管理能力;三是持续信息科技风险管理培训,及时补充和更新信息科技专业知识。
作者:黄国敬 单位:中国农业银行青海省分行