商業銀行信息科技風險管理

前言：尋找寫作靈感？中文期刊網用心挑選的商業銀行信息科技風險管理，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

移動互聯、大數據、云計算、人工智能等一系列前沿技術與商業銀行的業務創新深度融合，為客戶提供了“適時而在”甚至“無時不在”的金融服務，信息科技已全面融入銀行業務經營的每一個環節，同時，與之相關的信息科技風險已日益成為影響商業銀行業務發展的重要因素，這對信息科技風險防控提出了更高的要求。本文基于信息科技風險管控難點分析，探究信息科技風險管理對策。

一、銀行業信息科技風險的主要特征

信息系統安全運行是商業銀行業務正常開展的重要保障和基本前提，關乎商業銀行聲譽、金融安全和社會穩定。表1是近幾年的信息科技風險事件案例。信息科技風險的特殊性如下：一是廣泛性。信息科技風險廣泛地存在于信息系統、部門、業務、員工和外部事件中。二是易擴散性。銀行服務對象復雜、分布廣泛，所提供的金融服務與個人、企業利益乃至國民經濟息息相關，一旦發生重大信息科技事件，會引起一系列的連鎖反應，對銀行聲譽造成較大的負面影響。三是復雜性。引發信息科技風險的因素復雜，如系統的升級改造、生產運維、制度流程、人員操作、自然災害、突發事件等，使科技風險更趨隱蔽性和復雜性。四是隱蔽性。在特定外部環境下安全隱患容易被忽視，但會隨著環境變化逐步暴露出來。例如，系統中的漏洞在某種特定條件下被不法分子利用，或內部操作、管理流程漏洞被內部人員利用等。五是變化性。隨著信息技術水平的不斷提高以及業務創新的不斷深化，信息科技風險的表現形式也在不斷發生變化。六是損失難以準確計量。信息科技風險產生的損失包括直接財務損失和間接損失，但目前僅用直接損失金額計量，遠遠低估了信息科技風險給銀行帶來的影響。

二、銀行業信息科技風險管理架構

銀行業信息科技風險管理的“三道防線”建設，體現了科技、風險管理、審計三個部門之間相對獨立、有效分工、適當交叉、合理覆蓋、多級監督、信息共享、協同開展的信息科技風險管控工作機制。第一道防線是指信息科技治理，由科技部門承擔信息科技風險的直接管理責任，以風險控制的視角開展事前控制目標和預警指標制定、事中流程技術控制、應急處置、事后全面分析，以及現場或非現場的檢查等工作。第二道防線是指信息科技風險管理，由風險管理部門和內控合規管理部門負責。風險管理部門將信息科技風險納入全面風險管理體系，建立信息科技風險的控制標準和分類分級標準，對信息科技風險評估、監測、報告和計量。內控合規管理部門對信息科技制度建設、內部控制、合規管理及盡職監督檢查和評價。第三道防線是指信息科技審計，審計部門按監管要求和風險狀況，以獨立的第三方立場開展信息科技審計，檢查評估科技部門風險管理、內部控制的充分性和有效性，促進科技部門完善風控和內控機制。

三、商業銀行信息科技風險管理難點

1.信息科技風險管控邊界定位認識存在差異

在信息科技風險管理過程中，科技部門存在“重開發運維，輕風險管理”的思想，認為工作重點應放在加快信息化建設和做好系統運行管理方面，風險識別、控制和檢查監測是第二道防線的事，作為第一道防線，不能由自己檢查自己、自己監督自己；或是認為風險管理只是事后獨立的檢查監督，應由第二道防線部門獨立實施。這些觀點存在三方面問題：一是沒有認識到各道防線都可以運用風險識別、控制和檢查監測來實現信息科技風險管理目標；二是沒有認識到將各種風險控制措施內嵌到日常管理活動中，可以實現更有效的事中風險控制；三是沒有認識到有效運用風險管理方法，可以控制各種風險的威脅和影響。在信息科技風險第二道防線管理中，檢查監測主要著眼于事后查找問題，無法在事前和事中管控信息科技風險；信息科技專業性較強，檢查監測只是“走走形式”；或是根據職責劃分，過度追求“發現的風險越多越好，科技部門對風險問題的整改越快越好”。這些觀點同樣存在三方面問題：一是沒有認識到事前和事中管控信息科技風險的重要性；二是沒有認識到應將各種風險控制措施與第一道防線專業管理流程緊密連成一體；三是沒有認識到信息科技風險管控重點和考核導向，難以充分發揮信息科技風險管理的價值，因此，造成信息科技風險管理工作重點不突出、考核管理導向偏差、工作效率不高等問題。

2.信息溝通和分享缺乏完善的途徑

從科技部門績效考核角度來看，客觀準確地反映信息科技管理中的風險“不利于”績效考核結果，因此，科技部門內部往往以“半封閉、半遮掩”的方式應對第二道防線部門的信息科技風險監控檢查工作，人為掩蓋風險隱患或事件，對于能夠在內部消除的風險隱患不能主動充分揭示，漏報、少報、小報信息科技風險隱患，或者低報真實的風險狀況，導致部門之間信息不對稱；在監控檢查過程中提供的信息科技資料內容簡單、內外有別，未能真實、充分反映信息科技風險暴露情況?？萍疾块T長期處于“半封閉”的運行狀態，造成第二道防線部門無法真正了解信息科技風險總體狀況，缺乏有效監控。在日常運維過程中，科技部門還存在用技術性問題掩蓋管理和人為操作錯誤的情況，導致風險隱患的根源問題得不到徹底解決或沒有在事前或事中進行有效控制。同時，這些信息科技風險事件和隱患信息沒能及時、充分、有效地傳遞到第二道防線部門，導致其無法對該類事件和隱患進行統計、分析并給出防控建議。

3.第一道防線內部信息科技風險管理職責不明晰

科技部門內設的系統、網絡、機房環境、應用、運維等各信息科技子專業科室認為，信息科技風險管理職責應由信息安全管理科室承擔，而信息安全管理科室則認為應由各信息科技子專業科室承擔。角色不到位、職責認識不清使得各科室信息科技風險責任難以明確，資源不能有效整合，風險管控質量和效率難以提升。

4.第二道防線部門的信息科技風險理念傳導、培訓不足

信息科技風險管理專業性強、涉及面廣，監控人員需要具備一定的信息科技專業知識和綜合實踐能力。第二道防線部門缺乏具有科技專業的信息科技風險監控人員，難以有效、獨立承擔信息科技風險的防控和合規操作監督管理職能。一是信息科技風險理念的傳導和監控手段培訓不足，導致第二道防線部門機械性、形式化、應付了事地開展信息科技風險監控，缺乏主動性和創新性，現場檢查走過場，監控質量低，達不到監控效果；二是對信息科技風險監控要點補充和更新滯后，目前信息科技技術快速持續發展，信息科技各領域風險不斷變化，部分信息科技風險點已不再適用，新的信息科技風險點又未納入風險監控點，導致監控點與實際脫節。

四、商業銀行信息科技風險管理對策

1.運用風險管理的方法科學管控信息科技風險

（1）確定合理的風險管理目標和容忍度

風險容忍度決定了信息科技風險管理的策略、重點和控制強度。商業銀行要建立和完善信息科技風險容忍度指標管理體系，對信息科技風險實行容忍度管理，關鍵的信息科技風險容忍度指標要納入操作風險經濟資本計量體系。例如，對全行性中斷、省域性長時間及國家重大活動等敏感時期核心系統中斷“零容忍”，但對于局部營業網點中斷，只要合理引導客戶，控制好聲譽風險，可以有一定的容忍度。

（2）制定信息科技風險管理標準和策略

信息科技風險分類分級策略是信息科技風險管理的基準。商業銀行要制定信息科技風險分類分級策略，對信息系統、信息科技風險、信息科技風險事件實行分類分級管理，統一信息科技風險管理的邏輯和語言。第一，對信息系統實行分級管理。按信息系統的重要程度劃分為核心生產系統、重要生產系統、一般信息系統，各級信息系統實行清單制管理。第二，對信息科技風險實行分級管理。按風險發生頻率和風險影響程度劃分為高、中、低風險。根據風險級別制定相應的風險防范措施，比如高風險隱患應立即采取控制措施，中等風險隱患盡快采取控制措施，低風險隱患要在限定時間內采取控制措施等。第三，對信息科技風險事件（項）實行分級管理。按照影響范圍、持續時間、發生時段、信息系統級別和損失等因素，將信息科技風險事件（項）劃分為災難性事件、重大信息科技風險事件、一般信息科技風險事件、信息科技風險事項。

（3）對信息科技風險進行計量和考核

將信息科技風險計量納入操作風險經濟資本計量體系，強化對重點領域操作風險計量，強化信息科技風險防控的主動性。按照操作風險高級計量法管理方式，建立信息科技風險計量方法、標準和模型，以業務環境與內部控制因素為基準，通過情景分析數據，制定中斷時長與損失金額的轉化標準，按中斷時長計量操作風險經濟資本。同時，根據監管要求和風險形勢實施差異化風險計量考核，對監管部門專項治理領域，或是特殊時期、特定類型信息科技風險提高加計力度。例如，在特殊時期發生信息科技風險事件或發生特定信息科技風險事件均要大幅提高信息科技風險經濟資本計量標準。

2.完善“事前、事中、事后”的信息科技風險管控機制

（1）以風險排查為主的信息科技風險控制階段

第一道防線部門要按照監管要求，在信息科技關鍵環節設置恰當的風險管控措施。內設的信息安全科室要主動牽頭各信息科技子專業科室，利用各類風險檢查控制工具，嚴格落實風險防控的具體措施和手段，做好自查和檢查。第二道防線部門要加強對信息科技管理制度、規范和監管要求的落實情況檢查，重點是關鍵風險控制措施執行情況的檢查和評估，并根據檢查結果評估科技部門的風險管理水平。

（2）以技術控制內嵌管理過程的專業化管控階段

第一道防線部門在信息科技建設中，要以風險視角和理念，將風險管控措施集成內嵌于信息科技管理中。一是要加強實時監測、預警和技術控制的主動風險管理；二是規范生產運行流程，落實風險管控責任制；三是采用自動化技術審核和分析生產系統日志，做好統計分析和評估；四是不斷完善橫向崗位制約、縱向權限制約的管理體系。

（3）以預防為主，完善信息科技治理的全面風險管理階段

第一和第二道防線部門要共同承擔信息科技全面風險管理職責。一是完善部門間橫縱雙線、統分結合的信息科技風險管理體系，清晰劃分職責邊界，有效制衡，發揮部門的專業優勢，提高風險管理效率，實現信息科技全面風險管理；二是優化完善信息科技治理，在用戶管理、數據管理、變更管理、配置管理、事件管理、應急管理、系統網絡安全、信息保密管理、機房管理等領域設置監測要點，制定相應的檢查計劃；三是加強業務連續性管理，優化完善覆蓋各技術領域的應急預案，定期組織實戰演練，并根據演練和信息科技建設實際適時更新預案；四是第二道防線部門應從相對獨立、專業化和系統性的角度加強信息科技風險管理，做好現場和非現場檢查工作，深入分析和識別風險，對風險較高的信息科技領域進行風險評估，有針對性地實施風險管控措施。

3.完善信息科技風險信息的有效溝通和共享機制

（1）主動、及時傳導風險管控理念

第二道防線部門通過會議、座談、培訓、風險提示等多種方式，及時將風險管理理念傳導至第一道防線部門，提高全員信息科技風險意識。同時，要及時將信息科技監控報告、評估報告、信息科技內控評價報告、信息科技外包評價報告等通報第一道防線部門，加強信息科技風險信息橫向溝通。

（2）主動、及時、充分暴露信息科技風險隱患

第一道防線部門將發現的風險隱患信息及時、充分、有效地傳遞到第二道防線部門，并及時將信息科技風險分析、檢查、自評估報告，監管評級報告，審計報告和底稿，信息科技風險事件報告等通報第二道防線部門。第二道防線部門要參與信息科技日常管理，列席信息科技生產運行例會和重大科技事項會議，定期監測生產運行情況，實現信息共享和多維度綜合評價，強化信息科技全面風險管理。

4.建立常態的信息科技風險評估機制，提高風險識別評估的及時性和有效性

（1）組建穩定的信息科技風險評估團隊，實施評估專業化

評估檢查團隊成員要由風險管理條線、信息科技條線、內控合規條線人員組成，應覆蓋機房、網絡、主機、開放平臺、應用、信息安全、信息科技外包、業務連續性等專業領域。信息科技評估檢查團隊要梳理重點領域的信息科技風險點，制定信息科技風險評估手冊，明確評估方法和標準。

（2）建立嵌入流程并能自動觸發的常態化信息科技風險評估機制

要將信息科技風險評估嵌入到信息科技管理流程中，以定期信息科技風險專項評估逐步轉為以“嵌入式”和“觸發式”評估為主。實行信息科技風險管理狀況評級，評級結果納入到操作風險經濟資本計量考核體系和內控評價體系中。

（3）常態化開展信息科技風險自評估

科技部門要按季度、年度和專項開展信息科技風險自評估。在技術架構變更、基礎設施建設、信息系統立項、系統變更或投產等關鍵環節要會同第二道防線部門進行風險評估，查找風險隱患和管理薄弱環節，優化風險防控措施。

5.完善信息科技風險監測系統，提高風險預警的敏感性

（1）建立和完善信息科技風險監測系統

設立信息科技關鍵風險指標，持續監測，按需調整，及時分析和實時預警。第一和第二道防線部門在梳理重點領域各流程環節關鍵風險的基礎上，設立覆蓋事前、事中、事后的信息科技風險指標和閾值，整合對接核心系統生產運行、網絡安全、基礎設施、應用系統等相關數據。

（2）實行信息科技關鍵風險指標的自動化監測

將核心生產系統交易量、交易成功率、核心及重要生產系統運行情況、重要系統可用率、投產變更成功率、監控覆蓋率、應急與災備覆蓋率等系統及應用監控信息均納入第二道防線部門日常監控范圍，促其及時掌握第一手風險信息。

6.常態化開展信息科技重點領域、關鍵環節的風險評估和現場檢查，防范重大信息科技風險事件發生

（1）加強信息科技生產運行管理制度和流程的評估檢查

要落實監測、配置、容量、變更、問題、事件、日志等管理環節的風險管控責任，常態化開展信息科技生產運行管理制度和流程的評估檢查。

（2）防范全行性或區域性運營中斷風險和資金風險

以生產運行持續安全穩定為重點，防范因機房基礎設施故障、軟硬件故障、交易量超容、數據庫異常、生產系統運行異常、違規使用系統接口等引發的全行性或區域性運營中斷風險和資金風險。一是加強對機房基礎設施安全保障的評估檢查，重點對機房供電、網絡通訊、空調、消防等方面的監控、安全保障及應急處置評估檢查，防范機房因供電容量負荷不夠、空調制冷量不足引起的設備宕機風險；二是加強對生產系統部署環境可靠性的評估檢查，尤其要對核心和重要生產系統是否采用多活、集群、負載均衡的方式部署，是否存在單點部署的系統，是否定期開展系統和應用層面的切換演練等進行評估檢查；三是加強對投產變更環節風險管控的評估檢查，重點對投產變更的事前評估、事后驗證、審批和管理流程、特護監控、異?；赝?、敏感時點投產變更等進行評估檢查，防范因變更引發生產運行異常的風險；四是加強對信息安全管理的評估檢查，對核心和重要生產系統漏洞掃描、互聯網類應用系統滲透性測試等漏洞識別和修復情況，網銀類系統網絡邊界加固措施、數據防泄密措施等邊界防護情況，以及信息生成、傳輸、存儲、訪問、處理、歸檔、銷毀等信息分類管理進行評估檢查，防范信息被非法竊取的風險；五是加強對系統接口管理的評估檢查，對使用或對外提供系統接口時，科技和業務部門的雙重審查、驗收以及報備、報批等進行評估檢查，防止擅自或越權接入。

（3）加強信息科技外包項目的準入管理和風險評估

一是第一和第二道防線部門要對外包服務和外包服務商進行準入審核和風險評估。二是對信息科技外包項目實行分類風險管控，根據外包項目性質，分類確定外包風險管理策略和重點。對研發咨詢類外包，重點關注科技能力喪失、服務水平下降、用工關系不清、交付產品質量不達標等風險；對系統運行維護類外包，重點防范服務中斷、服務水平下降的風險，特別是重要系統的運維人員須有兩名技術能力相當人員互為備份，確保服務連續性；對業務外包中的信息科技活動，重點關注信息泄露的風險，建立信息資產授權清單，按“必需知道”和“最小授權”原則確定訪問權限，限制其對銀行敏感數據的接觸范圍，并關閉數據下載和拷貝權限，防范客戶信息泄密的風險。三是加強外包服務檢查、評估和后評價，第一道防線部門應定期開展信息科技外包檢查，充分評估信息科技外包對業務連續性的影響，制定重要信息科技外包的中斷場景應急預案，并定期開展演練，同時，第二道防線部門應定期開展信息科技外包風險評估和后評價。

（4）加強信息科技風險評估檢查團隊建設

在開展信息科技風險評估和現場檢查時，要由第二道防線部門牽頭組織，評估檢查團隊人員應覆蓋機房、網絡、主機、開放平臺、應用開發、信息安全、信息科技外包、業務連續性等專業領域。其中，第一道防線部門人員占比不低于50%，第二道防線部門人員占比不低于30%。

7.多措并舉，塑造合規審慎的信息科技風險文化

通過考核引導、檢查督導、培訓輔導、宣傳倡導，不斷增強風險意識，塑造合規審慎的信息科技風險文化。一是通過容忍度、經濟資本計量、風險考核等管理手段引導科技部門加強信息科技風險管理；二是在第二道防線部門配備具有信息科技工作經驗的員工，強化信息科技風險監控，充分發揮獨立性、專業化和系統性的風險管理能力；三是持續信息科技風險管理培訓，及時補充和更新信息科技專業知識。

作者:黃國敬 單位:中國農業銀行青海省分行