银行信息科技风险管理架构及实施建议

随着金融信息科技的发展，银行业务对信息科技的依赖逐渐加深，目前已发展到没有信息科技的支持银行将无法开展业务、信息系统一旦发生大面积瘫痪甚至会导致银行无法正常营业的风险，因此，对于信息科技风险的有效控制和管理成了商业银行内生的强大动力。事实上，在《新巴塞尔资本协议中》，信息科技风险是银行操作风险中“系统、人员、流程”中最为重要的组成部分，中国银监会更是将信息科技风险作为单独的风险予以监督和管理，并在2009年专门出台了《商业银行信息科技风险管理指引》(以下简称“《指引》”)，要求将信息科技风险管理纳入银行全面风险管理框架，对银行业信息科技风险的治理、组织架构和职责、管理措施进行了详细的规定。

        银监会已于2012年在银监会和地方银监局两个层面分别成立了专门的银行业信息科技监管部门，致力于通过现场检查和非现场监控等方式，加强银行业信息科技的风险监管。

        根据《指引》第十条“商业银行应设立或指派一个特定部门负责信息科技风险管理工作，并直接向首席信息官或首席风险官(风险管理委员会)报告工作”。银行业金融机构为确保符合监管对信息科技风险管理的监管要求，应降低因控制缺失给银行自身带来的信息科技风险及由此引发的合规、操作和声誉等风险。

一、整体思路和目标

        1．整体思路

        围绕银监会指引，结合金融机构尤其是中小商业银行自身实际情况，以合规、高效、低成本为准绳，建立和完善银行信息科技风险管理架构和运行机制。

        2．宗旨目标

        (1)确保银行信息科技风险管理实施到位，信息科技风险得到有效缓释。

        (2)确保信息科技风险管理架构符合监管规定和银行自身需要。

二、组织架构

        为推进银行信息科技风险管理工作，银监会要求商业银行在高管层面成立“信息科技管理委员会”ITC，由CIO或分管IT工作的行领导担任主席，其他高级管理层(如CRO)、信息科技部门和主要业务部门的负责人担任委员，负责监督信息科技各项职责的落实，定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况(含信息科技风险管理)。

        在工作层面，应设立一个专职团队负责信息科技风险管理工作，并直接向首席信息官(CIO)或首席风险官(CR0)报告工作。该团队应为信息科技突发事件应急响应小组（此小组亦为银行业务连续性运作小组的一部分）的成员之一。负责协调制定有关信息科技风险管理策略，尤其是在涉及信息安全(Information Security)、业务连续性计划(Business Continuity Plan)和合规性风险(IT ComplianceRisk)等方面，为业务部门和信息科技部门提供建议及相关合规性信息，实施持续信息科技风险评估,跟踪整改意见的落实，监控信息安全威胁和不合规事件的发生。

        科技风险团队的职责似乎与银行既有的信息安全团队有一定的重叠，实则有较大的区别，具体如表1所示：

        从表1中可以看出，科技风险管理作为银行风险管理的有机组成部分，侧重于制订高阶的风控策略和机制，使得信息科技风险得到从识别、评估、实施控制再到计量、监测的全周期管理，采用的是风险管理的理论和方法论。而信息安全管理更侧重在科技风险管理的策略框架下的实施和落实，通过物理和逻辑的各项安全措施的制订和实施，使得银行整体信息安全风险得到有效的管控。两者虽有区别，但可互为补充。

三、实施方案和优缺点

         1．工作内容

         在实务操作中，信息科技风险管理团队的具体工作内容可涵盖如下几个方面：

        (1)在制定信息科技风险管理策略方面，可考虑在银行整体风险管理政策下单独制定信息科技风险管理政策及相应的管理办法，内容应涵盖信息分级与保护、信息系统开发、测试和维护、信息科技运行和维护、访问控制、物理安全、人员安全、业务连续性计划与应急处置等。

        (2)在风险的识别和评估方面，侧重于制定持续的风险识别和评估流程，确定信息科技中存在隐患的区域，评价风险对其业务的潜在影响，对风险进行排序，并确定风险防范措施及所需资源的优先级别(包括外包供应商、产品供应商和服务商)。

        (3)在实施控制措施方面，应依据信息科技风险管理策略和风险评估结果，实施全面的风险防范措施。防范措施应包括：

        ①制定明确的信息科技风险管理制度、技术标准和操作规程等，定期进行更新和公示。

        ②确定潜在风险区域，并对这些区域进行详细和独立的监控，实现风险最小化。建立适当的控制框架，以便于检查和平衡风险；定义每个业务级别的控制内容，包括：最高权限用户的审查；控制对数据和系统的物理和逻辑访问；访问授权以“必需知道”和“最小授权”为原则；审批和授权；验证和调节。

        (4)在风险的计量和监测方面，侧重建立持续的信息科技风险计量和监测机制，其中应包括：

        ①建立信息科技项目实施前及买施后的评价机制。

        ②建立定期检查系统性能的程序和标准。

        ③建立信息科技服务投诉和事故处理的报告机制。

        ④建立内部审计、外部审计和监管发现问题的整改处理机制。

        ⑤安排供应商和业务部门对服务水平协议的完成情况进行定期审查。

        ⑥定期评估新技术发展可能造成的影响和已使用软件面临的新威胁。

        ⑦定期进行运行环境下操作风险和管理控制的检查。

        ⑧定期进行信息科技外包项目的风险状况评价。

        (5)在风险的识别、评估和计量、监测方面，侧重各种风险管理工具的组合运用，包括重点风险指标KRI、风险和控制自评估RACA等，将风险管理的方法工具化、统一化、模型化。而KRI／RACA工具中具体指标则应将上述第(1)～(4)点的风险控制及监测内容纳入指标的评估范围，定期予以评估及报告。

        (6)监管合规工作。作为对外监管、外审，对内审计、合规的接口，负责收集、分析IT相关监管的合规要求，指导各IT团队落实合规要求，定期评估IT条线合规整体情况并向高层汇报。

        实际操作的难点在于第(4)点的落地实施，而第(4)点的工作又是此岗位最为重要的抓手内容，协调相关的IT团队及业务部门予以实施非常重要。这就要求在第(5)点充分、科学的使用各种工具对落实情况进行全方位、定期的监控。这项工作不仅需要此岗位的人员有强有力的协调能力，也需要得到管理层的有力支持。

        2．汇报路线

        在科技风险管理团队的汇报路线方面，按指引要求可考虑放在风险条线(向CRO报告)或IT条线(向CIO报告)两种方案，从工作职责及落实难易度分析，相关方案的优缺点如表2所示：

        对于信息科技风险管理团队的设置，从实务工作需要来看较为合适的是第二和第三个方案，在合规上的瑕疵可通过在操作风险条线设置兼职信息科技风险岗位与上述团队进行对接来解决。

        总体来说，信息科技风险管理在国内银行业仍处于探索阶段，无论是岗位的设置还是职责的划分在监管和实务工作中仍有许多值得探讨和改进的空间。而随着大数据、云计算等新兴技术在银行业的逐步使用，系统也逐步由封闭走向开，相应的系统风险规模和特性也随之演变，这又将倒逼银行业进一步研究和改进风险管理的技术和工具，形成更加完善的科技风险管理理论框架。

（文章来源：《中国金融电脑》杂志）

扫码即可手机
阅读转发此文