政策法規 摘要:信息技術和網絡技術的發展,改變了銀行機構的業務流程和管理方式,同時也給銀行帶來了技術方面和管理方面的風險———信息科技風險。本文先介紹了銀行信息科技風險的含義及特征,然后對農合機構在信息科技風險管理中普遍存在的問題作了分析,最后針對各項問題提出了風險防控提升建議。
關鍵詞:銀行 信息科技風險 管理
一、引言
現代金融行業在信息技術的推動下已經發生了飛躍式變化,對信息技術的依賴性也不斷提高,從業務電子化到管理信息化,從數據大集中到云計算系統,信息技術已經滲透到銀行的各個方面,成為現代銀行穩健經營的堅實基礎,極大地提高了銀行的經營效率;信息技術與銀行業務的融合在促進業務發展的同時,也帶來了風險隱患,若不對信息科技風險進行有效管理,則可能引發系統風險,甚至會危及整個金融經濟體系。有鑒及此,我國銀監會在2016年9月30日發布的綱領性文件《銀行業金融機構全面風險管理指引》中首次把信息科技風險作為主要風險單獨列出。因此,對銀行信息科技風險管理進行研究,具有重要意義。
二、銀行信息科技風險概述
(一)信息科技風險定義
銀行信息科技風險是指銀行在使用計算機、網絡等技術進行產品、服務或信息傳輸時,所產生或引發的不確定性因素。我國銀監會出臺的《商業銀行信息科技風險管理指引》對此做了如下界定:信息科技在銀行運行過程中,由于自然因素、人為因素、技術漏洞以及管理缺陷產生的操作、法律或聲譽等風險。由此可見,信息科技風險一旦發生不僅影響到銀行內部程序和流程,還會引發其他風險,形成連鎖反應。
(二)銀行信息科技風險特征
銀行信息科技風險具有技術含量高、隱蔽性強、快速蔓延和覆蓋面廣的特點。與傳統風險相比,信息科技涉及計算機技術、網絡通信技術和安全技術,因此其技術含量較高。信息科技風險多數是由于自然災害或不可抗力造成技術設備遭破壞,從而導致業務連續性風險。信息技術的任何一個環節出現故障,都會迅速蔓延,加劇風險的嚴重性。
三、信息科技風險管理主要工作
信息科技風險管理主要工作包括信息科技風險識別、分析與評估、監測、控制、報告等五個環節:
(一)信息科技風險識別:信息科技風險識別是指對銀行具有脆弱性、可能受到威脅侵害、需要保護的信息資源、資產等價值目標進行識別和分類,并對相關的威脅發生的可能性及可能造成的損失進行確認的過程。
(二)風險分析與評估:信息科技風險分析與評估是指對風險發生的可能性及其發生以后所造成的影響進行綜合度量。信息科技風險評估單位應通過定性或定量的評估方法,判斷風險的發生可能性和危害程度,確定風險的等級。
(三)風險監測:信息科技風險監測是對信息科技風險進行定期或持續的檢查,及時發現新出現的信息科技風險以及風險管理措施存在的問題,并采取相應的補救措施,以保證信息科技風險在不斷變化的內外部環境中,始終處于銀行的風險容忍水平之下。
(四)風險控制:信息科技風險控制是指風險責任單位根據銀行的風險偏好及風險評估的結果確定風險的可接受水平,并針對性地制定相應的風險管理措施。通過建立事前預防、事中監控及事后復核的風險管控手段降低風險發生的可能性及其造成的影響,并根據銀行的信息科技風險容忍程度采取規避、降低、轉移風險等方式,將風險控制在銀行可接受的水平之內。
(五)風險報告:信息科技風險報告是依據特定的格式和程序對信息科技風險狀況進行描述、分析和評價形成信息科技風險報告,并按照規定的報告路線進行匯報。報告的內容應完整、客觀、清晰。
四、農合機構信息科技風險管理現狀以及存在的問題
農合機構在信息科技風險管理方面普遍起步較晚,信息科技風險“三道防線”的體系建設工作處于初創期,信息科技風險管理相關部門以及各專業委員會下屬小組之間的工作邊界尚未清晰,信息科技風險評估和監測工作協同機制還處于磨合期,對比監管的要求有一定差距,具體表現如下:
(一)信息科技治理架構不健全
目前農合機構治理架構的自我完善機制還不健全,無法快速適應經濟形勢和技術發展的變化。雖然部分農合機構根據監管要求初步建立了信息科技風險“三道防線”的管理體系,但二道防線工作大多處于初創期,一道防線和二道防線的界線不夠清晰,職責分工不明確,重疊和缺位的現象同時存在。
(二)信息科技風險管理制度建設不盡完善
多數農合機構尚未制定專門的信息科技風險管理制度,信息科技風險管理和控制措施多分散于其他制度中,且制度缺乏專人維護導致更新不及時,信息科技風險管理政策的全面性、實時性和準確性有待提高。
(三)信息科技風險管控措施不到位
1、信息科技風險識別和評估方面
多數農合機構雖然在制度上對信息科技風險管理識別和評估有所提及,但未建立完善的信息科技風險識別和評估的機制,包括信息科技風險的識別、評估和處置的具體實施流程不完備,信息科技風險的識別和評估標準不夠規范,定期評估新技術發展可能造成的影響和已使用軟件面臨的新威脅的評估流程尚有欠缺。因此要通過科學系統的風險識別和評估得出真正的信息科技風險狀況和管理水平有一定難度,信息科技風險隱患有被忽視的可能。
2、業務連續性管理方面
未制定機構層面的總體應急預案和總體業務連續性計劃,業務單位只負責制定本部門相關業務的專業應急預案,缺乏在機構層面對整體業務應急處理以及業務運營所需關鍵資源的統籌協調;應急演練工作大多由信息科技部門圍繞信息系統展開,業務部門針對重要業務中斷的應急演練不足;對信息科技基礎設施的投入不足導致部分關鍵設備存在超期服役和單點的風險,可能因設備老化造成不可遇見的硬件故障,導致業務異常或者中斷。
3、信息科技外包管理方面
現在農合機構在信息科技外包管理方面的管控力度較弱,在簽署合同前大多對重要的服務商開展專門的供應商盡職調查不充分,因此形成的調查報告不盡完善;根據自身戰略發展需要而制定不同類型和等級外包供應商的準入資質標準欠缺指導性;依據相關標準開展供應商的篩選和建立外包供應商庫的可操作性不強;針對外包服務商的水平考核流于形式,相關信息多數由外包商自行提交,可能存在并未核對信息的真實性和準確性的漏洞,外包商的綜合服務能力無法保證。
五、提升信息科技風險管理水平的措施
(一)提升信息科技治理機制有效性,促進科技治理與風險管理相互融合
農合機構需充分認識到信息科技在總行戰略和科學決策中的重要性,可通過啟動信息科技風險管理體系建設咨詢項目來提升信息科技治理機制的有效性,繼續理順管理層、信息科技相關專業委員會、業務部門、信息科技部門之間的權責關系,促進相關專業委員會切實發揮作用,推動業務部門與信息科技部門建立密切協同、良性互動的合作伙伴關系持續優化信息科技治理體系。
(二)優化信息科技風險管理體系,建立協同高效的管理機制
梳理并落實“三道防線”的職責界限和協同機制。信息科技部、電子銀行部等風險責任單位作為信息科技風險管理的一線部門必須承擔起風險管理的直接責任;充分發揮風險管理部作為二道防線的承上啟下作用,做好對一道防線的監督和指導工作;內審部門作為信息科技風險管理的第三道防線嚴格審查一、二道防線的工作履職情況。通過建立起“一道防線實施,二道防線管理,三道防線審計”的協同機制,夯實信息科技風險管理基礎,優化信息科技風險管理體系,牢固樹立安全意識,持續增強能力建設,全面提升信息科技競爭力。
(三)加強信息科技風險管理制度建設,提高信息科技風險管理制度執行力
制定包括信息分級與保護、信息系統開發和測試、信息科技運行和維護、業務連續性管理以及信息科技外包風險管理在內全面的信息科技風險管理策略,建立信息科技風險管理制度更新和維護機制,緊跟銀行業監管標準、內部系統建設和組織管理架構的變化,保證信息科技風險管理制度的全面性、實時性和準確性。此外在加強信息科技風險管理制度建設的同時還必須通過加強員工制度培訓、嚴格落實規章制度、嚴肅追究違規行為責任等措施切實提高信息科技風險管理制度的執行力。
(四)加強風險識別與評估能力建設,開展持續風險監測和應對工作
科學開展信息科技風險識別與評估工作,建立與資產、外部威脅、系統脆弱性相關的、動態調整的風險識別清單,構建支撐風險評估工作的工作流程和機制,并開展持續的風險監測和應對工作。完善信息科技風險關鍵指標體系,明確關鍵風險指標閾值,實施動態監測,構建運維、安全、風險“三位一體”的協同運作體系,提升信息科技風險管理的有效性和精細化程度。
(五)優化業務連續性管理體系,增強業務持續運營管理能力
制定機構層面的總體應急預案和總體業務連續性計劃,開展業務影響分析(BIA)和業務連續性風險評估工作。重要業務部門制定所屬業務條線的業務連續性應急預案并定期進行重要業務中斷的應急演練。信息科技部門對信息系統進行統一梳理,識別出承載重要業務的信息系統,確定信息系統恢復時間目標(信息系統RTO)、信息系統恢復點目標(信息系統RPO),明確信息系統重要程度和恢復優先級別,并識別信息系統恢復所需的必要資源。
(六)健全完善信息科技外包管理機制,推進信息科技開放協作
建立對外包供應商盡職調查機制,在簽署合同之前通過網絡信息收集,同行實踐反饋,公司實地調查等多渠道全方位了解外包供應商的資金實力、技術力量、行業經驗、市場占有率,服務集中度風險等綜合信息以便客觀評價外包供應商的綜合服務能力。此外農合機構應利用省聯社省級平臺開放共享的優勢,積極與省聯社溝通共同制定不同類型和等級外包供應商的準入資質標準,開展對外包供應商的篩選工作,建立外包供應商資源庫,通過省聯社統籌、各地農合機構信息共享的方式盡量降低由于對外包供應商信息了解的不對稱性所造成的潛在損失。
參考文獻
[1]張:《關于城商行信息科技風險管理的思考》,載《銀行家》,2011。
[2]張倩,張云志,祁妙:《關于商業銀行信息科技風險的調查與思考》,載《中國信用卡》,2011。
[3]王全剛:《新形勢下加強銀行IT風險防控的思考與建議》,載《農村金融研究》,2015。
[4]張四洋:《新形勢下關于農村商業銀行科技風險防范的思考》,載《現代經濟信息》,2016。
粵公網安備 44060502000337號
