INFORMATlON SECU RITY 对商业银行信息科技风险管理的思考 中国农业银行青海省分行黄国敬 移动互联、大数据处理、云计算、人工智能等一系 然灾害、突发事件等都有可能促使科技风险更趋隐蔽和 列前沿技术与商业银行的业务创新深度融合,为客户提 复杂。 供了“适时而在”甚至“无时不在”的金融服务,信息 (4)隐蔽性 在特定外部环境下安全隐患容易被 科技已全面融入银行业务经营的每一个角落,与之相关 忽视,但随着环境变化会逐步暴露出来。例如,系统L}I 的信息科技风险已日益成为影响商业银行业务发展的重 的漏洞在某种特定条件下被不法分子利用;1人J部操作、 要因素,对银行的风险防控水平提出了更高的要求。本 管理流程被内部人员违法利用等。 文从分析信息科技风险管控难点着手,探究信息科技JxL 险治理对策。 一(5)变化性。随着信息技术水平的不断提高以及 业务创新的不断深化,信息科技风险的表现形式也在不 断发生变化。 、银行业信息科技风险的主要特征 (6)损失难以准确计量..信息科技风险产生的损 L}』国银监会前主席刘明康曾表示: “如果银行系统 失包括直接财务损失和问接损失,但目前仅用直接损失 中断1小时,将直接影响该行的基本支付业舞中断1天, 将对其声誉造成极大伤害;中断2 ̄3天以上不能恢复, 将直接危及其他银行乃至整个金融系统的稳定。”可见, 金额计量,远远低估信息科技风险给银行带来的影响. .二、银行业信息科技风险管理架构 银行业信息科技风险管理的“三道防线”建没,体 信息系统安全运行是商业银行业务正常开展的重要保障 和基本前提,关乎商业银行声誉、金融安全和社会稳定。 现了科技、风险、审计部门相对独立、有效分工、适当 信息科技风险的特殊性如下。 交叉、合理覆盖、多级监督、信息共享、协同开展的信 (1)广泛性。信息科技风险广泛地存在于信息系统、 息科技风险管控工作机制。 部门、业务、员工和外部事件中。 (2)易扩散。银行服务对象复杂、分布广泛,所 1.第一道防线是lT治理 由IT部门承担信息科技风险的直接管理责任,以 提供的金融服务与个人、企业利益乃至国民经济息息相 风险控制的视角开展事前控制目标和预警指标制定,事 关,一旦发生重大IT事件,会引起一系列的连锁反应, 中流程技术控制、应急处置,事后全面分析,以及现场 或非现场的检查等工作。 对银行声誉造成较大的负面影响。 (3)复杂性。引发信息科技风险的因素复杂,如 2.第二道防线是IT风险管理 由风险管理部门和内控合规管理部门负责,风险管 系统的升级改造、生产运维、制度流程、人员操作、自 68 FINANCIAL COMPUTER OF CHINA …… …一…… InformationSecurity 理部门将信息科技风险纳入全面风险管理体系,建立信 考核管理导向偏差、工作效率不高等问题, 息科技风险的控制标准和分类分级标准,对信息科技风 险评估、监测、报告和汁量。内控合规管理部门对IT 制度建没、内部控制、合规管理及尽职监督检查和评价。 2.信息沟通和分享缺乏完善的途径 (1)从科技考核角度上,客观准确地反映IT管理 中的风险“不利于”其绩效考核,往往以“半封闭、半 3.第三道防线是lT审计 遮掩”应对“二道防线”部门的信息科技风险监控检查 审汁部f J按监管要求和风险状况,以独立的第三方 工作,人为掩盖风险隐患或事件,对于能在科技部门内 立场开展信息科技审计,检查评估IT部门风险管理、 部消除的风险隐患不能主动充分揭示,漏报、少报、小 1人J部控制的充分性和有效性,促进IT部门完善风控和 报信息科技风险隐患.或者低报真实的风险状况,导致 内控机制 部门之间信息不对称;在监控检查过程中提供的IT资 三、商业银,if"f ̄息科技风险管理难点 1.信息科技风险管控边界定位认识的差异 料内容简单,内外有别,未能真实、充分反映信息科技 风险暴露情况。科技部门长期处于“半封闭”的运行状态, 造成“二道防线”部门无法真正了解信息科技风险总体 (1)在信息科技风险管理过程L}I,科技部¨存在“重 状况,缺乏有效监控。 开发运维,轻风险管理”的思想,认为工作重点应放在 加快信息化建没和做好系统运行管理方面,风险识别、 控制和检查监测是第二道防线的事,作为第一道防线, 不能由自己检查自己、自己监督自己;风险管理只是事 (2)科技部门日常运维过程中,存在用技术性问 题掩盖管理和人为操作错误的情况,导致风险隐患的根 源问题得不到彻底解决或没有在事前或事中进行有效控 制。同时这些信息科技风险事件和隐患没能及时、充分、 后独立的检查监督,应由第二道防线部门独立实施。这 有效地传递到“二道防线”部门,导致其无法对该类事 些观点的误区在于:一是没有认识到各道防线都可以运 件和隐患进行统计、分析并给出防控建议。 3.“一道防线”内部信息科技风险管理职责不 用风险识别、控制和检查监测来实现IT风险管理目标; 二是没有认识到将各种风险控制措施内嵌到日常管理活 明晰 动中,可以实现更有效的事中风险控制;三是没有认识 到有效运用风险管理方法,可以控制各种风险的威胁和 影响。 科技部门内设的系统、网络、机房环境、应用、运 维等IT各子专业科室认为信息科技风险管理应由信息 安全管理科室承担,而信息安全管理科室则认为应由信 (2)在信息科技风险“二道防线”管理中,存在 息科技各子专业科室承担其相关风险管理职责,角色不 检查监测主要着眼于“事后”查找问题,无法在事前和 到位、职责认识不清使得各科室信息科技风险责任难以 事中管控信息科技风险;IT专业性较强,检查监测只是 明确,资源不能有效整合,风险管控质量和效率难以提 “走走形式”;或是“根据职责划分.过度追求发现风 升。 险越多越好,科技部f,IX,l风险问题的整改越快越好”的 4.“二道防线”的信息科技风险理念传导、培训 误区。这些观点没有认识到事前和事中管控信息科技风 不足 险的重要性;没有认泌到将各种风险控制措施与第一道 信息科技风险管理专业性强、涉及面广,监控人员 防线专业管理流程紧密连成一体;没有认识到信息科技 需要具备一定的IT专业知识和综合实践能力。在“二 风险管控重点和考核导向.难以充分发挥信息科技风险 道防线”部门缺乏具有科技专业的信息科技风险监控人 管理的价值,造成信息科技风险管理工作重点不突出、 员,难以有效、独立承担信息科技风险的防控和合规操 2018.03中国金融电脑69 lNFORMATlON SECU RITY 作监督管理职能。一是对信息科技风险理念的传导和监 照信息科技风险事件(项)的影响范围、持续时间、发 控手段培训不足,导致“二道防线”部门机械性、形式化、 应付了事地开展信息科技风险监控,缺乏主动和创新, 生时段、信息系统级别和损失等因素划分为灾难性事件、 重大信息科技风险事件、一般信息科技风险事件、信息 现场检查走过场,监控质量低.达不到监控效果。二是 科技风险事项。 对信息科技风险监控要点补充和更新滞后,信息科技技 术快速持续发展,IT各领域风险不断变化,部分信息科 (3)对信息科技风险进行计量和考核 将信息科技风险计量纳入操作风险经济资本汁量体 技风险点已不再适用,新的信息科技风险点又未纳入风 系,强化对重点领域操作风险计量.强化信息科技风险 险监控点,导致监控点与实际脱节。 防控的主动性。按照操作风险高级计量法管理方式,建 立信息科技风险计量方法、标准和模型.以业务环境 四、商业银行信息科技风险管理对策 1.运用风险管理的方法科学管控信息科技风险 (1)确定合理的风险管理目标和容忍度 与内部控制因素为基准,通过情景分析数据.制定中 断时长与损失金额的转化标准,按中断时长计量操作 风险经济资本。同时,根据监管要求和风险形势实施 风险容忍度决定了信息科技风险管理的策略、重点 差异化风险计量考核,对监管部门专项治理领域,或 和控制强度。商业银行要建立和完善信息科技风险容忍 是特殊时期、特定类型信息科技风险提高加汁力度。 度指标管理体系,对信息科技风险实行容忍度管理,关 例如,特殊时期发生信息科技风险事件,或发生特定信 键的信息科技风险容忍度指标要纳入操作风险经济资本 息科技风险事件均要大幅提高信息科技风险经济资本 计量体系。例如,对全行性中断、省域性长时间及国家 计量标准。 重大活动等敏感时期核心系统中断“零容忍”,但对于 2.完善“事前、事中、事后”的信息科技风险管 局部营业网点中断,只要合理引导客户,控制好声誉风 控机制 险,可以有一定的容忍度。 (2)制定信息科技风险管理标准和策略 一(1)以风险排查为主的信息科技风险控制阶段 是“一道防线”部门要按照监管要求,在IT关 信息科技风险分类分级策略是信息科技风险管理的 键环节设置晗当的风险管控措施。内设的信息安全科室 T子专业科室,利用各类风险检查控制 基准。商业银行要制定信息科技风险分类分级策略,对 要主动牵头各I信息系统、信息科技风险、信息科技风险事件实行分类 工具,严格落实风险防控的具体措施和手段,做好自查 分级管理,统一信息科技风险管理的逻辑和语言。 一和检查。二是“二道防线”部门要加强对IT管理制度、 是对信息系统实行分级管理。按信息系统的重要 规范和监管要求的落实情况检查,重点对关键风险控制 程度划分为核心生产系统、重要生产系统、一般信息系 措施执行情况的检查和评估.并根据检查结果评价IT 统,各级信息系统实行清单制管理。 二是对信息科技风险实行分级管理。按风险发生频 部门的风险管理水平。 (2)以技术控制内嵌管理过程的专业化管控阶段 “一率和风险影响程度划分为高、中、低风险。根据风险级 道防线”部门在IT建设中,要以风险视角和 别制定相应的风险防范措施,如:高风险隐患应立即采 理念,将风险管控措施集成内嵌于IT管理中。一是要 取控制措施,中等风险隐患尺.陕采取控制措施,低风险 加强实时监测、预警和技术控制的主动风险管理;二是 隐患要在限定时间内采取控制措施等。 规范生产运行流程,落实风险管控责任制;三是采用自 三是对信息科技风险事件(项)实行分级管理。按 动化技术审核和分析生产系统日志,做好统计分析和评 7 0 FINANCIAL COMPUTER OF CHINA… ~一 InformcrtionSecurity 估;四是不断完善横向岗位制约、纵向权限制约的管理 情况,实现信息共享,多维度综合评价,强化信息科技 体系。 全面Jx【险管理。 (3)以预防为主.完善信息科技治理的全面风险 管理阶段 “一4.建立常态的信息科技风险评估机制,提高风险 识别评估的时效性 (1)组建稳定的信息科技风险评估团队,实施评 道防线”和“二道防线”部门要共同承担信息 科技全面Jxl险管理职责。一是完善部 ’日]横纵双线、统 估专业化 分结合的信息科技风险管理体系,清晰划分职责边界, 评估检查团队成员应由风险管理条线、信息科技条 有效制衡.发挥部门的专业优势,提高风险管理效率. 实现信息科技全面风险管理。二是优化完善信息科技治 线、内控合规条线人员组成,成员应覆盖机房、网络、 主机、开放平台、应用、信息安全、IT外包、业务连续 T评估检查团队要梳理重点领域的IT 理。在用户管理、数据管理、变更管理、配置管理、事 性等专业领域。I件管理、应急管理、系统网络安全、信息保密管理、机 风险点,制定信息科技风险评估手册,明确评估方法和 房管理等领域设置监测要点,制定相应的检查计划。三 标准。 是加强业务性连续管理,定期组织演练。优化完善覆盖 (2)建立嵌入流程并能自动触发的常态化信息科 各技术领域的应急预案,定期组织实战演练,并根据演 技风险评估机制 练和IT建设实际适时更新预案。四是“二道防线”部 将信息科技风险评估嵌入到IT管理流程中,以定 门应从相对独立、专业化和系统性的角度加强信息科技 期信息科技风险专项评估逐步转为以“嵌入式”“触发式” 风险管理,做好现场和非现场检查工作。深入分析和识 评估为主。实行信息科技风险管理状况评级,将评级结 别风险.对风险较高的IT领域进行风险评估.有针对 果纳入到操作风险经济资本计量考核体系和内控评价体 性地实施风险管控措施 、 系中。 3.完善信息科技风险信息的有效沟通和共享机制 (1)主动及时传导风险管控理念 (3)常态化开展信息科技风险自评估 IT部门应按季度、年度和专项开展信息科技』xL险自 “二道防线”部门通过会议、座谈、培训、风险提 评估。在技术架构变更、基础设施建设、信息系统立项、 示等多种方式.及时将风险管理理念传导至“一道防线” 系统变更或投产等关键环节要会J司“二道防线”部门进 部门,提高全员信息科技风险意识。同时,要及时将IT 行风险洋估,查找风险隐患和管理薄弱环节,优化风险 监控报告、评估报告、IT内控评价报告、IT外包评价 防控措施。 报告等通报“一道防线”部门,加强信息科技风险信息 横向沟通 (2)主动及时充分暴露信息科技风险隐患 “一5。多措并举,塑造合规审慎的信息科技风险文化 通过考核引导、检查督导、培i儿1辅导、宣传倡导, 不断增强风险意识,塑造合规审慎的信息科技风险文化。 一道防线”部门对发现的风险隐患信息及时、充 是通过容忍度、经济资本计量、风险考核等管理手段 分、有效地传递到“二道防线”部门。及时将信息科技 风险分析、检查、自评估报告,监管评级报告,审计报 引导科技部门加强信息科技风险管理。二是在“二道防 线”部『j配备具有IT工作经验的员工,强化信息科技 告和底稿、信息科技风险事件报告等通报“二道防线” 风险监控,充分发挥独立、专业化和系统性a',llx(险管理。 部门。“二道防线”部门要参与IT t4常管理,列席IT 三是持续信息科技风险管理培训,及时补充和更新IT 生产运行例会和重大科技事项会议,定期监测生产运行 专业化知识。(要萝 2018.03中国金融电脑7 1
