• 快捷搜索
  • 全站搜索

商业银行IT风险管理三大挑战与应对

2014-11-13 11:12:29作者:中国工商银行股份有限公司数据中心(北京)专家 张晓丹编辑:金融咨询网
商业银行IT风险管理(信息科技风险管理)常谈常新,而从IT风险管理与内控相结合的视角进行剖析并提出解决方案,却不多见。本文属于理论与可操作性兼具,细节显功力。

随着国内商业银行信息化建设的不断深入,信息科技与银行业务不断走向融合。作为银行操作风险一部分的IT风险管理工作,越来越受到国内监管部门和各商业银行的重视。2009年,银监会正式发布了《商业银行信息科技风险管理指引》(以下简称《指引》),要求各家商业银行健全信息科技管理、IT风险管理、信息科技审计三道防线,以全面推进商业银行IT风险管理工作。各商业银行在开展IT风险管理的过程中,存在基础概念认识不统一;风险控制管理工作重复开展;IT风险管理三道防线间职责不清;重事后独立的IT风险检查审计,轻事前的风险预警和事中嵌入流程的硬控制和实时告警处理;IT管理自动化建设不足;手工或半自动化风险检查效率和业务价值不高;全员参与不足等问题。

        为此,本文从分析商业银行风险管理、内部控制、IT风险管理、信息安全管理等概念的定义和相互关系入手,明确IT风险管理的目标定位、工作内容和组织方式;探究商业银行IT风险管理组织方式、职责分工、系统建设等方面的挑战;提出IT风险管理的分阶段实施步骤和自动化建设思路。

商业银行信息科技风险管理理论分析与实践-作者.jpg

一、风险管理、内部控制与IT风险管理之别

        1.风险管理与内部控制的发展历史

        风险是指具有不确定性且发生时对组织的既定目标、资产或安全产生影响的事件。纯粹风险只有负面影响,机会风险同时有正负影响。风险既可以为企业带来机会,也可能造成损失。风险管理不是简单地降低和规避风险,而是以最佳方式识别和管理风险。风险管理是通过对风险进行识别、评估和控制,实现以最小的成本获得最大的安全保障的管理活动。风险管理的目的不是追求风险最小化,而是提高组织控制承担风险的能力,以获得风险机会和风险价值,为组织创造新的战略竞争机遇。

        在金融企业风险管理方面,1988年,国际清算银行巴塞尔银行监理会发布了以规范信用风险为主,将信用风险纳入商业银行资本需求的《巴塞尔资本协议》(Basel I)。在1996年的修正案中,又将市场风险纳入资本需求。2004年,新《巴塞尔资本协议》(Basel II)修正了信用风险评估标准,并将操作风险也纳入资本需求,明确最低资本要求、监察审理程序、市场制约等三大支柱,以期规范银行风险管理能力。至此,商业银行董事会、管理层开始全面重视和参与风险管理,设立风险管理委员会统一管理信用风险、市场风险、操作风险、流动性风险、法律风险、声誉风险、合规风险。

        内部控制是指一个由企业董事会、经理层和员工实施的,旨在保障财务报告的可靠性、经营效率和效果及现行法规遵循等3个目标的过程。包括控制环境、风险评估、控制活动、信息与沟通、监督等5个要素,是组织对风险实施控制管理的具体方法、手段、程序和流程。

        在金融企业内部控制方面,2002年,美国国会通过《萨班斯法案》(Sarbanes-Oxley Act,SOX),要求所有美国上市公司必须完善公司治理、健全内控体系。该法案是美国1934年以来最重要的公司法案。在其影响下,世界各国纷纷出台类似的法案,加强公司治理和内部控制规范,加大信息披露的要求,加强企业全面风险管理。

        2.风险管理与内部控制相融合的全面风险管理

        2004年,美国COSO在《内部控制-集成框架》基础上,结合SOX法案的要求,发布了COSO-ERM《企业风险管理整合框架》。实现了风险管理目标与内部控制过程手段的全面融合和一体化,拓展了商业银行内部控制的内涵,使其从内部检查管控为主,向风险控制和外部合规为主的内控体系发展。

        COSO-ERM指出,企业全面风险管理是一个过程,该过程由企业的董事会、管理层和员工全面参与实施,应用于战略制定并贯穿于企业所有活动,旨在识别可能会影响企业目标实现的潜在事件并管理风险,以使其在企业风险偏好下的风险容忍范围内,为企业目标的实现提供合理保障。全面风险管理强调全员的风险管理文化和全过程的风险控制,要求企业在经营管理的所有过程、环节都执行风险管理流程,以确保企业总体经营目标的实现。

        COSO-ERM全面风险管理的目标包括:战略目标(制定正确的愿景目标)、经营目标(提升经营效益和效率)、报告目标(确保财报等各种报告的信息真实性和有效沟通)、合规目标(遵从内外法律法规)等4个目标以及内部环境、目标控制、事项识别、风险评估、风险反应、控制活动、信息和沟通、监控等8个要素。全面风险管理理论包含以下主张:组织所有的管理活动都是在进行风险管理;组织的业务就是承担风险和管理风险的活动;风险是机会,全面风险管理创造价值、确保组织完成目标;组织最大的风险是根本不想承担任何风险。

        3.IT风险管理的定义、分类和特点

        IT资产作为组织的六大核心资产(人力、财务、实物、知识产权、IT、关系)之一,其重要性越来越得到企业最高管理层(董事会)的关注。根据《指引》,IT风险是指信息系统在规划、研发、建设、运行、维护及退出过程中由于技术和管理缺陷产生的操作、法律和声誉等风险。IT风险管理是指通过建立有效的机制,对银行IT风险进行识别、计量、监测和控制,实现业务系统的连接性运作和信息资产的安全,增强IT核心竞争力和可持续发展能力,推动业务创新发展。IT风险主要包括IT运维风险、IT业务连续性运作风险、信息安全风险、IT合规风险、IT外包风险、IT项目风险、IT治理风险等7大类。

        IT风险管理强调的是全员、全部门、全过程的风险视角、意识、理念和知识的运用,是一种融合在银行各种IT治理和管理活动中,帮助企业实现IT战略目标的方法、手段和过程,不是独立于企业建设发展的额外工作。IT风险管理并不仅仅是规章制度,如文件法规、技术规范和应用模型等,也不是额外单独的控制活动,而是内嵌于企业的日常管理活动中的一种常规的管理和运行机制。因此,内部控制和风险管理既是一种制度安排,也是一种管理过程(在流程中整合体现而不单做),更是一种自律行为(风险意识和合规意识)。

        4.信息安全管理与IT风险管理的关系

        信息安全管理是指通过实施一组合适的控制措施(包括策略、过程、程序、组织结构以及软硬件功能)管理和保护组织所有信息资产的体制,其与IT风险管理存在如下关系。

        首先,从管理目标来看,IT风险主要是对信息资产的安全风险和信息系统连续稳定运行的风险的管理,而信息安全管理侧重于信息资产的安全管理。虽然信息安全的CIA中特性(机密性、完整性、可用性)的“可用性”也涉及信息系统的有效运行,但其主要关注的还是在各种攻击入侵行为下,信息系统中信息的可用性。

        其次,从制度规范来看,IT风险涉及的各种信息科技制度和技术规范中,只有一部分属于信息安全管理领域,其他分别属于生产运行有关变更/容量/连续性流程管理、IT基础设施及应用研发测试管理、IT治理、项目管理、第三方合作和外包等领域。

        再次,从涉及范围来看,IT风险和信息安全管理都涉及商业银行的各个部门和全员。这是因为随着信息科技与业务不断融合,商业银行的各个部门和所有员工都需要使用信息科技服务进行电子信息的处理。

        最后,《指引》中有关“商业银行应设立或指派一个特定部门负责IT风险管理工作,负责协调制定有关IT风险管理策略,尤其是在信息安全、业务连续性计划和合规性风险等方面,为业务部门和信息科技部门提供建议及相关合规性信息,实施持续IT风险评估,跟踪整改意见的落实,监控信息安全威胁和不合规事件的发生。”的要求,清楚地说明IT风险管理的概念包含信息安全管理概念。

        因此,在IT风险管理体系下,信息安全可以看作是和IT基础设施、应用研发、运行服务一样的专业条线,这些专业条线内部都存在IT风险管理的内容。只是信息安全专业条线与其他专业线不是并行的关系,而是垂直交叉的关系,信息安全管理工作需要信息安全专业线与其他专业条线配合才能完成。

        5.IT风险管理的三道防线及职责分工

        IT风险管理的三道防线,源自商业银行内部控制体系实践过程中,将有关设计监督、操作执行和防范评价三类内控保障活动分别交由中台职能部门、前台业务部门、后台审计部门分工合作的组织方式。三道防线机制是全面覆盖组织经营管理各机构、各环节,实现信息共享、合作互动、适当交叉、合理覆盖的内控保障活动机制。其基本特点是:一道防线强调过程实时控制和自我评估程序;二道防线强调各职能部门对一道防线进行设计、管理、指导、检查和监督;三道防线强调内审部门对业务操作职能(一线)及业务管理职能(二线)进行独立再监督和评价,发现问题并督促其及时采取相应措施。

        IT风险管理的第一道防线是指IT管理,职责落在信息科技部门,要求IT部门在牵头完善IT治理、落实IT管理的信息化全生命周期过程中,以风险控制的视角开展风险的事前控制目标和预警指标制定、事中流程技术硬控制和实时告警处理,事后全面分析挖掘统计报告,以及现场或非现场的风险检查和风险自查等工作。

 1 2 3 下一页 尾页

扫码即可手机
阅读转发此文

本文评论

相关文章