信息科技风险"三道防线"良好实践研究
信息科技风险“三道防线”良好实践研究
浙江稠州商业银行 陈小其
目录
信息科技风险“三道防线”良好实践研究 ................................................................................... 1
目录 .................................................................................................................................................. 1
一、 前言......................................................................................................................................... 3
(一) 信息科技风险的定义 ................................................................................................. 3
(二) 信息科技风险管理的目标 ......................................................................................... 3
(三) 信息科技风险“三道防线”研究背景 ..................................................................... 4
(四) 研究目的和意义 ......................................................................................................... 4
二、 近年来发生的信息科技事件 ................................................................................................. 5
(一) 误操作事件 ................................................................................................................. 5
(二) 信息系统中断事件 ..................................................................................................... 5
(三) 信息泄露事件 ............................................................................................................. 6
(四) 信息系统故障 ............................................................................................................. 7
(五) 信息科技案件 ............................................................................................................. 7
三、 信息科技风险的特点 ............................................................................................................. 8
(一) 危害性大 ..................................................................................................................... 8
(二) 专业性强 ..................................................................................................................... 8
(三) 潜伏性深 ..................................................................................................................... 9
(四) 传递速度快 ................................................................................................................. 9
(五) 难以追踪 ..................................................................................................................... 9
四、 信息科技风险的主要来源 ................................................................................................... 10
(一) 自然灾害导致 ........................................................................................................... 10
(二) 基础系统导致 ........................................................................................................... 10
(三) 管理缺陷导致 ........................................................................................................... 10
(四) 内部人员违规操作导致 ........................................................................................... 11
(五) 外部风险导致 ........................................................................................................... 11
五、 信息科技风险管控的驱动因素 ........................................................................................... 11
(一) 内在驱动 ................................................................................................................... 11
(二) 外部驱动 ................................................................................................................... 12
六、 信息科技风险“三道防线”建设框架 ............................................................................... 13
(一) 信息科技风险“第一道防线” ............................................................................... 14
(二) 信息科技风险“第二道防线” ............................................................................... 15
(三) 信息科技风险“第三道防线” ............................................................................... 15
七、 信息科技风险“三道防线”建设基础 ............................................................................... 16
(一) 需要领导高度重视 ................................................................................................... 16
(二) 需要建立良好的企业风险文化 ............................................................................... 17
(三) 需要体系化的建设 ................................................................................................... 17
(四) 需建立合理的信息科技风险战略规划 ................................................................... 18
八、 信息科技风险“三道防线”建设实践 ............................................................................... 18
(一) 信息科技风险“第一道防线”建设实践 ............................................................... 18
1. 建立内部质量控制体系 ........................................................................................... 18
2. 搭建信息科技风险预警监测系统 ........................................................................... 19
3. 加大科技投入,提高信息系统运行保障能力 ....................................................... 20
4. 完善绩效考核体系 ................................................................................................... 21
5. 规范开发流程管理,完善项目管理机制 ............................................................... 22
6. 深化信息科技应用 ................................................................................................... 24
7. 加强队伍建设,提升信息科技核心专业能力 ....................................................... 25
8. 建立应急预案 ........................................................................................................... 25
(二) 信息科技风险“第二道防线”建设实践 ............................................................... 27
1. 将信息科技风险纳入全面风险管控体系 ............................................................... 27
2. 建立持续的信息科技风险计量和监测机制 ........................................................... 27
3. 搭建科学实用的风险管理模型 ............................................................................... 28
4. 营造先进的风险管理文化 ....................................................................................... 28
5. 持续推出风险提示 ................................................................................................... 29
6. 推动关键风险指标监测工作 ................................................................................... 29
(三) 信息科技风险“第三道防线”建设实践 ............................................................... 30
1. IT审计要结合银行战略和业务目标出发 .............................................................. 30
2. IT审计要坚持以风险为导向 .................................................................................. 30
3. IT审计要贯穿于信息系统生命周期的全过程 ...................................................... 31
4. IT审计要以关注内部控制为基础 .......................................................................... 31
5. IT审计要从整体流程进行考虑 .............................................................................. 32
6. 通过逐步实施IT专项审计,完善审计体系建设 ................................................. 32
7. 积极探索审计增值服务,实现审计职能转型 ....................................................... 32
8. 适时引入外部专家的力量 ....................................................................................... 33
9. 优化队伍建设 ........................................................................................................... 35
九、 信息科技风险“三道防线”之间的关系 ........................................................................... 36
(一) 独立性 ....................................................................................................................... 36
(二) 协作性 ....................................................................................................................... 36
(三) 监督性 ....................................................................................................................... 37
十、 信息科技风险“三道防线”作用的发挥 ........................................................................... 38
(一) 建立完善的信息科技风险治理架构 ....................................................................... 38
(二) 明确“三道防线”的职责 ....................................................................................... 39
(三) 建立“三道防线”的沟通与协调机制 ................................................................... 39
(四) 建立信息科技风险披露机制 ................................................................................... 39
十一、 总结 ................................................................................................................................... 40
【内容摘要】随着改革开放和国家信息化建设步伐的加快,我国银行信息化建设从无到有、从小到大、从单项业务到综合业务,从单一网点到全国联网已经逐步形成了银行信息化的基本框架,取得了显著的社会效益和经济效益。信息化有力地促进了银行业务的发展, 可以预见,未来城商行的竞争,很大一部分都是源于信息科技的竞争, 然而,随着商业银行业务的快速扩张,信息系统的不断上线,信息系统表现的越来越复杂,管理难度越来越大,信息化在推动银行发展的同时,也给银行自身带来了巨大的风险,本文从近期发生的信息科技风险事件作引入,讲述了信息科技风险的特点、主要来源以及信息科技风险管控的驱动因素,并重点讲解了“三道防线”的建设以及“三道防线”之间的关系。
一、前言
(一)信息科技风险的定义
信息科技风险,是指信息科技在规划、设计、研发或采购、运行、维护、监控及报废过程中由于人为因素、技术漏洞和管理缺陷产生的操作、法律、金融和声誉等风险。
(二)信息科技风险管理的目标
信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展能力。根据宏观到具体分层,见下图:
(三)信息科技风险“三道防线”研究背景
近年来随着商业银行信息科技与业务的发展,监管要求的不断提高,新的巴塞尔协议也已经将信息科技风险列入了操作风险之一,各商业银行深刻意识到信息科技风险控制的重要性,为此加强了信息科技、风险管理、IT审计人才的引进力度,逐步探索信息科技、信息科技风险、信息科技审计“三道防线”的建设,以促进信息科技在风险可控的基础上,使之发挥越来越重要的作用,如何有效防范信息科技风险,发挥信息科技风险“三道防线”的作用,就成了各商业银行共同面临研究的话题。
(四)研究目的和意义
信息科技风险“三道防线”良好实践研究,将有助于商业银行对信息科技风险有进一步的认识和了解,为建立信息科技全面风险防范体系奠定良好基础,同时有助于商业银行进一步预防、控制信息科技
风险事件发生,提高经营单位的业务可持续性经营能力,提高其核心竞争力。
二、近年来发生的信息科技事件
当今世界,随着技术的发展,外部环境的多变,而信息系统本身固有的脆弱性,以及在信息系统运行过程中,内部的操作不当、管理不严所造成的系统漏洞,都会被外部黑客、内部不法分子所利用,造成信息科技风险事件的发生,给银行带来直接或间接的损失,甚至对一个行的命运,乃至整个国家金融体系造成严重打击,以下列举了部分国内外发生的信息科技风险事件:
(一)误操作事件
2005年12月,日本瑞穗证券公司(Mizuho Securities)误将客户的“以61万日元卖出1股J-COM公司股票”指令输入为“以每股1日元卖出61万股”,东京股票交易所(Tokyo Stock Exchange)电脑系统对该公司取消下单的指令不能给予回应,随后瑞穗的错单全部成交,引发了投资者抛售股票,使日经指数重挫超过300点,瑞穗证券损失超过400亿日元。
(二)信息系统中断事件
2007年8月15日,工商银行对计算机系统进行升级,但由于没有避开业务高峰期,导致个人业务系统运行不畅,在持续五个半小时之后,系统才逐步恢复正常。
2013年5月12日招商银行上午10时许,据微博上多位网友反映,招商银行包括柜台服务电子银行、手机银行以及ATM服务在内的
全系统瘫痪,经过大概半个多小时左右的紧急维护,招行系统方恢复正常。
2013年6月24日多家媒体报道“就在国内银行系统爆出“钱荒”的当口,中国工商银行昨天上午出现系统“瘫痪”,柜面取款、自动取款机、网上银行、电话银行等业务办理均受影响,多个网点贴出“机器故障”告示停办所有业务。此次事件涉及北京、上海、四川等多个省市”。
(三)信息泄露事件
2005年,因为第三方服务提供商被黑客侵入电脑系统,导致4000万张信用卡的资料被盗。凭借这些资料,黑客能制造伪卡,大肆刷卡,这也是美国有史以来最严重的信用卡资料泄密事件。
2011年12月21日晚上知名网站CSDN证实600余万用户资料被泄露后,人人网、天涯、开心网、百合网、多玩网、178.com、7K7K小游戏等网站也遭“泄露门”,被称是这些网站的用户数据资料被放到网上公开下载
2012年央视315晚会曝光招商银行、工商银行,农业银行等员工利用和银行接口的征信查询系统查询到了大量的个人信息,并通过邮箱传给作案人非法获利。作案人利用以低折扣代缴电话费、水电费等方式转手套现,造成受害人损失总计300多万。
2012年12月,招商银行证实由于员工的“误操作”,泄露了其招行济南分行校园招聘内部招聘关系名单,该名单包含了学生名称、毕业院校,与领导或客户关系等,引起了社会有关招行招聘“拼爹门”
的讨论。
(四)信息系统故障
2006 年日本最大的美资银行花旗银行(Citibank Japan)出现交易系统故障,5天内约27.5万笔公用事业缴费遭重复扣划,或交易后未作月结记录,造成该行在日本的重大声誉损失。
2008年12月26日凌晨2点左右,工行派发“圣诞大礼”,纸黄金交易系统出现报价错误,显示金价暴涨超过4倍,原因是交易员在纸黄金系统录入报价错误,混淆了不同单位和币种的报价,导致纸黄金交易系统中纸黄金最高中间价突然由人民币186元每克暴涨到848元每克。
2013年8月16日(周五)11点05分,沪指突然出现大幅拉升,包括中国石油、中国石化、工商银行、中国银行等市值靠前的权重股集体出现涨停,大盘一分钟内瞬间涨超5%,最高涨幅5.62%,指数最高报2198.85点,大盘盘中一度逼近2200点,沪指差点补掉端午节留下的2205点缺口,这在A股历史上从来没有出现过,下午14点25分,光大证券发布公告称,承认套利系统出现问题,这就是网民称之为堪称可以载入史册的重大“乌龙”事件。事后8月22日,光大总裁徐浩明辞职;8月30日,证监会定性光大证券内幕交易,重罚5.32亿元,并对4名责任人处以终身市场禁入。
(五)信息科技案件
2011年1月,许多人都收到了一条来自[1**********]发来的短信,称中行网银E令已过期,要求立即登录中国银行网站
(www.bocpu.tk、www.bocc.nna.cc)进行升级。 据《钱江晚报》报道,绍兴市民章某在接到假冒的中行网银E令卡升级的短信后,登录假中行网站,48秒100万元被偷走。无独有偶,当地的魏先生、陆先生也分别被相同骗局骗走了1700元和11万元。
三、信息科技风险的特点
(一)危害性大
商业银行是一个信息高度集中行业,所有的业务交易、管理、对外服务等大部分都是依靠信息系统来完成,一旦核心系统发生故障,尤其是中央主机系统、主干网络的中断,会引起一系列的连锁反应,造成大范围的灾难性后果,如客户还贷无法及时到账,造成贷款逾期;股市资金不能到账,造成股市混乱,客户损失;客户购买原材料资金无法及时到账,造成生产停滞,订单延期等,此外,由于感染病毒造成的信息系统故障也会造成银行业务的大面积瘫痪,这些都会给商业银行带来直接的损失,以及加大声誉风险。特别是国有商业银行,网点广、承担社会责任多,信息系统一旦出现故障,不仅会给个人、企业造成经济损失,还会在一定程度上影响整个国民经济的健康发展。
(二)专业性强
随着商业银行信息科技的发展,基础软硬件越来越先进、网络基础架构越来越复杂、系统之间的关联越来越高,且信息科技本来就是一个高科技的行业,如网络、硬件、操作系统、数据库、软件等每一块专业性都很前,对人员的要求高,一旦出现故障,往往需要花费较长时间才能分析与解决问题,靠个人的力量一般都很难解决,需要团
队的力量和外部的支持与配合,因此各商业银行培养一支专业的人才队伍成为了信息科技风险防范的重要保障之一。
(三)潜伏性深
风险的潜伏性是指在特定外部环境下安全隐患容易被忽视,新的风险点会随着环境变化逐步暴露出来。由于银行业务的高速增长以及信息技术的飞速发展,使得信息科技风险具有典型的潜伏性。比如,通过充分风险论证、测试验收的生产系统,短期内无风险隐患,而随着生产环境的压力逐步扩大,系统的脆弱性就会逐步暴露出来;一个具有很高安全性的电子银行,随着外部环境的变化,病毒的不断变种,黑客技术的提高,新的安全问题就会暴露出来;一台装有最新防护设备的ATM,犯罪分子通过对ATM的刻意研究揣摩,并采取一定的手段避开防护设备,就有可能采用新的手段进行犯罪。因此,信息科技的风险防控工作要求更加严格,不仅要充分考虑当前情况,更应该对将来可能发生的情况作全面而充分的考虑。
(四)传递速度快
当今世界,随着计算机网络的普及,微博、微信时代的来临,一旦信息科技风险事件发生,将会在短期内进行放大,难以控制;另一方面,电子银行业务的快速发展,为犯罪分子也提高了极大的便利,通过网上银行、手机银行将可以使巨额资金瞬间从一个账户转到另一个账户上。
(五)难以追踪
传统银行犯罪,主要发生在营业场所,通过银行柜台、ATM等有
限渠道完成,一般都会留下蛛丝马迹,甚至犯罪录像。而随着银行信息化的快速发展,使得犯罪活动可通过电子银行、网上银行、电话银行、移动银行甚至家居银行等方式和渠道完成,无须接近银行大楼,也无需暴露身份,就可以将银行或其他客户的资金据为己有,使案件发生后难以进行追踪。
四、信息科技风险的主要来源
(一)自然灾害导致
如地震、台风、恐怖袭击等自然灾害造成的风险,这类风险往往很难主动防范,只能被动防御,需要商业银行在信息科技机房选址和建设的过程中予以考虑,并且通过事前建立完善的业务连续性方案和应急预案,事后及时启动应急方案和补救措施来弥补。
(二)基础系统导致
由于信息系统本身固有的脆弱性和设计上存在的缺陷,在当今商业银行业务系统和金融产品大规模地存在电子化、网络化的信息系统中,无论采用多么“完美"的安全保护措施,信息科技的风险总是存在的。如核心设备存在单点故障隐患、性能不足、基础设施和硬件设备老化、系统软件缺陷等造成的风险,这类风险的发生需要通过改善软硬件环境、完善应用软件来防范。
(三)管理缺陷导致
如外包管理过程中对项目开发质量缺乏有效控制,对软件开发未实行严格项目管理,造成软件质量难以保证,投产的系统可能存在缺陷;业务连续性管理不足,未针对系统运行的薄弱环节制定应急预案,
未对备份数据进行有效性检验和恢复演练,备份数据的可恢复性难以保证,这类风险的发生,主要出现在人的身上,特别是管理者身上,在管理上没有引起重视,需要从IT治理架构和管理机制上弥补管理和制度的空白及漏洞。
(四)内部人员违规操作导致
信息科技的正常运行离不开人的支持,在信息系统运行过程中,内部的操作不当、管理不严、甚至违规操作等都会引起信息科技风险事件的发生,需要加强员工的安全培训和操作培训,提高人员的信息安全意识和操作水平,建立相应的复核、授权等制约机制。
(五)外部风险导致
近年来随着商业银行业务的发展,以互联网技术为支撑的银行服务和产品创新,推动了电子银行业务的快速发展,但同时也为银行带来了较大的风险隐患,给客户资金造成损失,如出现的假冒网站、网络黑客截获通讯数据、安装木马盗抢客户密码,发布病毒干扰银行正常经营等。
五、信息科技风险管控的驱动因素
近年来,风险管理已成为商业银行经营管理活动的主旋律,信息科技风险作为银行风险的重要组成部分,受到越来越多的重视。从商业银行的角度看,这源于两方面的驱动因素。
(一)内在驱动
目前信息技术已深入到商业银行经营管理的各个领域,几乎所有的改革发展任务都与信息技术密切相关,不管是业务的发展,还是管
理的提升,都需要信息技术的配套支持。但是,信息技术固有的风险,包括信息系统软硬件本身的脆弱性、数据集中导致的风险集中等,是客观存在且难以完全规避的。由于技术原因造成区域性和系统性的金融风险进而带来严重的社会影响,在国内外都有很多案例。因此,信息技术在促进银行业务发展、推动金融创新的同时,也使银行业务面临巨大的安全隐患,信息科技风险牵一发而动全身,信息系统的安全性和可靠性关系到商业银行整体经营管理活动的稳定,应该到而且已经得到了所有商业银行的重视。
(二)外部驱动
近几年,中国人民银行、银监会等监管机构对于商业银行信息科技风险的监管要求越来越严、越来越细。银监会2009年3月下发的《商业银行信息科技风险管理指引》,从IT治理、风险管理策略、信息安全、开发测试和生产运行管理等方面对商业银行提出了具体而细致的风险管理要求,对于商业银行加强信息安全管理、防范信息技术风险起到了重要的指导作用。同时,银监会将商业银行的信息系统纳入现场和非现场监管,大力开展信息科技风险现场检查,对商业银行的信息科技风险防范工作提出了更高的标准和要求。监管力度的加大,促使商业银行针对信息技术风险防控制定出更强有力的措施,不断提高信息安全风险管理水平。
下图为银监会近年来下发的相关监管文件:
六、信息科技风险“三道防线”建设框架
总体来说信息科技“三道防线”是个整体,它不是孤立存在的,是一种相互独立、互相制约,但又相互促进的关系,它是以企业风险管理战略为基础,以企业文化为驱动,以科技治理、制度等为保障,基本框架如下图所示:
(一)信息科技风险“第一道防线”
信息科技管理部门作为信息科技风险管理的第一道防线,处于信息科技风险管理体系架构的底层,是整个信息科技风险管理体系建设的基础,主要负责本单位信息科技建设,及信息科技风险各项控制措施的实施,应做好项目开发、系统运行维护、安全控制、外包管理、基础环境搭建等基础工作,是控制整个信息科技风险的关键,具体职责包括:
1.负责制定、执行信息科技风险控制措施,对信息科技风险实施监测和规避。
2.负责本行信息安全管理。
3.负责本行信息系统开发、测试和维护。
4.负责维护本行信息科技系统运行管理。
5.负责实施信息科技外包战略,拟定并执行信息科技外包管理制度与流程,维护外包商的准入、评价等日常管理工作。
6.牵头组织各业务部门开展全行信息系统应急演练。
7.配合风险管理部做好信息科技风险评估工作。
8.定期向风险管理部和高级管理层汇报信息科技风险管理情况。
(二)信息科技风险“第二道防线”
风险管理部门作为信息科技风险管理的第二道防线,处于信息科技风险管理体系架构的中间层,主要负责信息科技风险管理策略的制定,组织开展信息科技风险的评估、监控等,是信息科技风险过程监控的主要环节,具体职责包括
1.制定信息科技风险管理制度。
2.汇总信息科技风险管理报告,定期分析,并向高级管理层汇报。
3.负责做好信息科技风险管理的排查工作,定期对信息科技风险进行汇总分析。
4.负责对信息科技风险的识别、评估、计量和监测。
5.牵头组织各业务部门,制定重要业务信息系统应急预案,对本行信息系统的演练进行监督。
(三)信息科技风险“第三道防线”
审计部门作为信息科技风险管理的第三道防线,处于信息科技风险管理体系架构的最上层,主要负责对信息科技风险管理和信息科技风险控制效果进行检查和评价,并督促其进行整改,以确保信息科技风险管理体系的良好运行和持续改进,是整个信息科技风险控制体系的监督部门,具体职责包括:
1.负责信息科技审计制度和流程的实施;
2.制订信息科技审计计划,并按照计划积极开展信息科技相关审计;
3.对信息科技整个生命周期和重大事件等进行审计;
4.对系统和内控机制的适当性和有效性进行审计;
5.协助外部审计机构完成信息科技相关的审计;
6.提供与信息科技相关的风险管理、内部控制等方面的咨询服务;
7.与信息科技审计相关的其他事项。
七、信息科技风险“三道防线”建设基础
(一)需要领导高度重视
信息科技风险“三道防线”建设的基础,是需要良好的IT治理环境,需要领导的高度重视,需要高级管理层认识到信息科技在引领业务发展方面的巨大作用,认识到信息科技对银行管理带来的极大提高,同时也需要认识到信息科技所带来的风险,认识到信息科技投入和产出,这种重视,不光是思想上,或者是口头上的,更要落实到实处,即是在财力、物力、和人力上予以保证。
只有这种从上而下的对信息科技的重视,才能更有利于信息科技的建设、更有利于信息科技风险的防范,如部分信息系统的建设,因为涉及企业的管理、生产、资金、人才等诸多因素,会碰到来自企业各级管理人员、企业自身的管理方式和组织机构等各方面的阻力,这些问题绝不是几个计算机技术人员和开发商就能解决的,必须有企业
高层领导的支持和参与,特别是有的信息系统建设,上线后对原有的操作模式、工作方法、组织结构、管理等都会带来重大变化,从而引起有关人员的抵制和不合作,因而只有企业高层领导自始至终高度重视,并积极地减少或消除各方面的阻力和障碍,开发工作才可能取得成功。
(二)需要建立良好的企业风险文化
企业风险文化,是企业文化的重要组成部分,一般由风险管理理念、知识和制度三个层次组成,其中风险管理理念是风险文化的精神核心,也是风险文化中最为重要和高层次的因素,比起制度和知识来说,它对员工的行为具有更直接和长效的影响力,信息科技三道防线的建设,不是出具几个制度、下发几个文件、开展几次培训或者检查就能建设好的,需要的是建立良好的企业风险文化,需要企业每一位员工都能具有很强的主人翁意识,具有很强的责任承担和风险意识,从业务的一线开始都能将这种风险的文化深入的骨髓里,自然而然,习以为常,这样信息科技风险才能从根源上得到有效遏制,三道防线的真正作用才能得到有效发挥。
(三)需要体系化的建设
信息科技风险“三道防线”的建设不是一撮而就,是一个慢慢的过程,是一个体系化建设的过程,以战略为核心,以文化为驱动,通过不断梳理流程、完善信息科技治理架构、制订制度、提高执行,充分发挥“三道防线”相互协调、相互制约、相互监督的机制,并在此基础上通过定期进行风险识别、评估,利用PDCA循环模型,持续改
进,不断完善信息科技质量管理体系建设。
(四)需建立合理的信息科技风险战略规划
信息科技风险建设是一个逐步完善的过程,不是一蹴而就,需要有长远的眼光,商业银行应根据自身市场定位,结合业务特征,以及信息化发展趋势,和监管部门的合规要求,制订科学合理的信息科技战略规划,在此基础上,逐步开展信息科技建设,加强信息科技风险管理。
八、信息科技风险“三道防线”建设实践
(一)信息科技风险“第一道防线”建设实践
信息科技风险“第一道防线”是整个信息科技风险控制的基础,也是风险控制的关键,良好的实践包括:
1.建立内部质量控制体系
内部质量控制是指信息科技部门为提高科技质量,防范风险,而制定的各项措施和流程,内部质量控制体系的建立是银行规避科技风
险,保证工作质量,发挥自身免疫系统功能的有效途径,建立内部质量控制体系主要包括:
(1)完善组织架构,设立独立的内部质量控制部门或质量控制岗,该部门应该直接向信息科技部总经理负责,其工作职责主要负责质量标准制定、履行内部质量监督、管理等工作;
(2)建立质量控制管理流程,通过建立制度化的操作规程,规范信息科技外包、系统维护变更;对计算机信息系统的日常运行维护工作,进行流程化设计并通过技术工具进行固化,加强审批、审计管理及流程控制;
(3)完善信息科技内控制度建设,确保内控制度覆盖到信息科技工作的各个方面,做到信息科技工作有章可循,有规可依;
(4)加强对操作过程的监控,建立事前复核、事中授权、事后检查机制,积极降低风险发生的可能;
(5)加强事后检查,建立考核问责与激励机制,促进员工规范操作行为,提高员工积极性,提高信息科技建设质量;
(6)开发管理工具软件,对事件、问题、变更、配置管理和发布管理实现软件控制,有效控制操作风险。
2.搭建信息科技风险预警监测系统
由于信息科技风险具有隐蔽性、高技术性等特点,完全依靠人工是很难进行监测与防范的,因此需要各银行积极探索信息化的风险识别、监测和控制手段,通过搭建信息科技风险预警监测系统,能够及时掌握系统运行情况,检测到系统存在问题并及时报告,使问题能够
得到及时处理。如主干网络是否通畅、机房是否断电、主机、自助设备是否正常运行、数据库系统是否正常服务、是否有网络遭受外部非法入侵等,以保障在发生故障的第一时间作出响应,积极消除风险隐患,要使风险预警监测系统发挥真正的作用,除系统功能本身完善外,还需各银行建立起如下机制:
(1)制订预警处置管理办法,规范信息科技风险预警的管理,明确各部门职责与分工,明确预警处置要求,明确报告机制,切实防范和化解信息科技风险;
(2)建立定期的分析机制,除了对每一预警进行处理外,还需将预警监测到的事件定期进行归组、归类,深入分析风险事件发生的原因,防范事故的重复发生;
(3)建立良好的风险分类分级制度,在充分分析信息科技风险对银行业务影响的基础上,对重要系统、重大风险隐患部分实施重点监控;
(4)完善风险报告机制,加强信息科技部门与业务管理部门、以及风险管理部门、高管层、监管机构之间的沟通协调,建立清晰的内外部报告路线;
(5)建立人工的巡检机制,及时排除预警监测系统不能发现的隐患。
3.加大科技投入,提高信息系统运行保障能力
信息科技基础建设,是防范信息科技风险的基础,各商业银行要加大科技软硬件设施投入,改善基础运行环境,提高资源利用率,消
除单点故障隐患,提高信息系统运行保证能力。
(1)改善本行基础运行环境,根据本行业务发展规划,制订信息科技的长短期规划,逐步完善中心机房、灾备机房等建设,推进同城和异地数据中心建设,提高系统抗灾害的能力;
(2)建立“双活”,甚至“多活”的高可用性模式,使得单个业务种类被均衡至不同的系统渠道上,即使部分节点发生故障,也不会导致全辖性的业务瘫痪;同时,单个使节点的业务承载量降低至一半,有效提高了生产系统的稳定性,大业务量压力下系统软件异常概率大大降低,资源利用率、动态可扩展性、切换速度、系统维护便利性大大提高;
(3)完善网络运行环境,采用层次化和模块化的网络设计,使整个网络系统各个网络分区和功能模块的设计清晰和合理,同时根据各个网络分区的不同需要分别部署相应的安全、Qos、路由等策略,防止病毒及外部黑客的入侵, 确保银行信息系统安全。
4.完善绩效考核体系
绩效考核体系是现代企业管理的一个重要组成部分,甚至是核心部分,完善的绩效考核体系有助于提高信息科技人员的工作积极性,提高信息科技质量和服务水平,在制订绩效考核管理办法时,应从以下几方面进行考虑:
(1)要从财务控制、服务态度、工作业绩、风险事件等多维度进行考虑考虑;要加入员工工作能力、工作态度、服务意识、责任心、品德言行等方面的考核;要突出团队合作意思,将个人绩效与项目质
量、科技整体绩效进行挂钩;
(2)要根据不同岗位的工作职责、工作重点,提炼可定量的关键绩效考核指标,如关键系统正常运转时间、故障次数、问题解决时间、需求处理工作量、项目开发质量等,通过对员工关键绩效的考核,提高工作质量,防范风险发生;
(3)要与内部质量控制体系进行关联,通过内部质量部门的质量控制、检查等活动,发现存在的相关问题,进而与员工或部门的绩效进行挂钩。
5.规范开发流程管理,完善项目管理机制
加强信息科技项目管理的规范化、流程化,建立覆盖信息科技项目立项、需求分析、设计、开发、测试、上线、验收、后评价等全过程的管理体系,明确项目实施过程中各相关部门职责;
建立软件质量控制标准,规范质量管理体系,明确质量控制方法和流程;规范开发技术标准体系,加强技术标准在开发过程中推广使用力度,进一步提高开发管理的标准化、规范化程度;建立软件产品测试质量保证体系,重点加强需求分析和测试阶段的质量管理与流程控制,建立和完善测试环境及产品质量测试流程,加强性能和压力测。试的深度和覆盖面,逐步提高自动化测试水平。
加强项目质量控制,重点需要加强对项目开发过程重要里程碑产物的评审,制订详细的《信息科技项目实施流程》,该实施流程能进一步规范和指导信息科技项目实施工作,确保各制度和流程能够落地,提高项目管理水平、提升效率、降低风险。
以下为一个项目总体控制流程图:
以下为一个项目需求分析过程的控制实施流程,可操作性较强:
6.深化信息科技应用
各商业银行应大力提高信息科技应用能力,完善核心应用系统、电子银行、管理信息系统和风险管理基础设施建设,支持全面风险管理体系建设,提高业务创新和金融服务能力。
(1)加强核心应用系统建设,采用参数化、组件化架构设计方法,以业务为驱动、客户为中心、产品为支撑,支持流程银行建设,完善应用架构,规范服务接口标准,逐步实现产品灵活定制和多渠道的快速发布。
(2)整合分布在各应用系统的客户信息,逐步形成全行统一的客户信息视图,建设操作型客户信息管理系统,逐步探索建立全行统一的客户营销和客户关系分析管理平台,深度挖掘客户数据资源,实现差异化客户营销,提升金融服务效率和服务水平。
(3)加强渠道资源统一规划与整合,集成柜面、网上银行、电话银行、自助设备等渠道类应用服务,建设统一接入平台,实现报文类型、交易路由等渠道功能的灵活定制;统一各渠道的业务通用功能,建立跨渠道的产品统一部署和发布机制,实现一致的客户体验,提高客户满意度。
(4)深化技术创新,积极扩充网上银行服务内容,逐步增加投资理财、转账支付、账户与财务管理等个人网银业务功能,提供丰富的个性化增值金融服务;扩展企业网银功能,深度挖掘地域经济特色需求,为企业提供特色金融服务,提升企业资金运营与盈利能力。
(5)建立覆盖全行经营管理信息的企业级数据平台,为银行精细化管理提供扎实完备的数据基础;制定数据标准,统筹数据管理,梳理、整合数据资源,提升数据的准确性、完整性和一致性,提升数据共享水平,并在此基础上推进管理信息系统建设,提高银行精细化管理水平。
7.加强队伍建设,提升信息科技核心专业能力
各商业银行应根据本行发展战略,加大信息科技人力资源投入,建立与银行发展战略相适应的信息科技人才队伍建设机制,确保关键岗位人员配备,按照监管要求,信息科技人员占比原则上应不低于3%;加大信息科技规划、架构管理、研发与项目管理、信息科技风险管理与审计等关键领域专家型人才的培养和引进力度,打造核心人才梯队;加强信息科技人员职业生涯发展规划,建立健全信息科技人员激励机制,完善与行政序列并列的信息科技专业职级体系和薪酬体系,完善晋升机制,拓展信息科技人员职业发展空间。
8.建立应急预案
应急预案作为信息科技风险防范的最后一道防线,是灾难或事故发生后,企业能保证正常运转的保障,各商业银行必须未雨绸缪,做好业务连续性规划、业务恢复机制、风险化解和转移措施、数据备份方案等多方面的工作,并加强灾备演练,以保障在突如其来的灾难性事故面前,能从容应对,迅速恢复生产,尽可能降低事故造成的损失,应急预案的制订应从以下几方面进行:
(1)业务连续性应该以战略驱动,基于银行战略发展规划,建
设与银行业务规模、范围相适应的业务连续性管理架构,并纳入到银行整体风险管理体系中来;
(2)要建立持续的业务连续性管理体系,业务连续性管理不是一蹴而成或静止不变的,需要进行定期进行评估、维护、升级,需要根据信息科技的发展及时更新;
(3)要统筹建立全行统一的应急管理体系,确立应急管理组织架构,明确董事会及高级管理层的管理责任,成立业务连续性日常管理机构和应急处置机构;落实牵头部门,统筹推进指挥体系、预警机制、处置程序、保障措施、管理制度、流程规范和资源保障等应急管理建设工作;
(4)要将业务连续性融入到企业文化中,业务连续性管理除了技术支撑外,更重要的是需要员工很高责任的意识,只有将业务连续性融入到企业文化中,才能真正做到有效的业务连续性管理;
(5)要完善风险场景的设定,识别可能面临的高风险场景以及对资源的影响,在开展业务影响分析的基础上,规划出合适的恢复目标和恢复策略,恢复策略应尽可能考虑在没有系统支持的情况下业务如何开展;
(6)促进业务部门与信息科技部门应急联动机制建设,加强部门间应急协作,探索建立与公共事业机构、金融同业机构的应急协作机制,提升应急处置综合能力;
(7)建立常态化的应急演练机制,重点开展关键业务系统及重要基础设施的应急演练,演练范围逐步向外围系统、多应用
联动扩展,逐步提高以真实业务接管为目标的切换演练实战能力。
(二)信息科技风险“第二道防线”建设实践
信息科技风险“第二道防线”是整个信息科技风险控制的中间层,商业银行信息科技风险管理的目标是通过建立有效的机制,实现对商业银行信息科技风险的识别、计量、监测和控制,促进商业银行安全、持续、稳健运行,推动业务创新,提高信息技术使用水平,增强核心竞争力和可持续发展动力,良好的实践包括:
1.将信息科技风险纳入全面风险管控体系
银行业是一个高度信息化的行业,信息科技产生的风险将对银行有着重要的影响,因此必须将信息科技风险纳入到全面风险管控体系中来,通过制定全面的信息科技风险管理策略,并依据信息科技风险管理策略和风险评估结果,实施全面的风险防范措施,建立持续的信息科技风险计量和监测机制,提高信息科技风险防控水平,保障信息系统安全、稳定运行。
2.建立持续的信息科技风险计量和监测机制
信息科技的风险不是一成不变的,它会根据银行业务的发展、科技的进步等变化的,各商业银行应根据本行当前的业务、信息科技现状,确定信息科技中存在隐患的区域,评价风险对其业务的潜在影响,对风险进行排序,并确定风险防范措施及所需资源的优先级别,通过建立持续的信息科技风险计量和监测机制,逐步将风险控制到最小化。《商业银行信息科技风险管理指引》第十八条要求商业银行应建立持续的信息科技风险计量和监测机制,其中应包括:
(1)建立信息科技项目实施前及实施后的评价机制。
(2)建立定期检查系统性能的程序和标准。
(3)建立信息科技服务投诉和事故处理的报告机制。
(4) 建立内部审计、外部审计和监管发现问题的整改处理机制。
(5)安排供应商和业务部门对服务水平协议的完成情况进行定期审查。
(6)定期评估新技术发展可能造成的影响和已使用软件面临的新威胁。
(7)定期进行运行环境下操作风险和管理控制的检查。
(8)定期进行信息科技外包项目的风险状况评价。
3.搭建科学实用的风险管理模型
当前,商业银行的风险重点已经从原有的信用风险管理,扩大到信用风险、市场风险、操作风险、流动性风险等多种风险的一体化综合管理。风险量化、模型化是银行风险管理的一个发展趋势,量化风险管理技术是银行风险管理实施的有力支撑,选择科学实用的风险管理模型是我行风险管理体系建设的重要环节。在定性管理的基础上,逐渐加入定量的元素,更准确、更有效、更科学地管理风险,建立完善配套的风险管理信息系统,实施风险分类管理,提高风险专业化、精准化管理水平,逐步实现定性为主的方法向定量与定性相结合的转变。
4.营造先进的风险管理文化
风险管理的有效推进不仅需要健全的制度、先进的技术,还需要
浓厚的风险管理文化。风险管理文化体现为风险管理观念、道德规范和行为方式上自觉的一致,能够传承,不因人员更迭发生变化。风险管理文化的建立一是要培养全体员工的主人翁意识,使其充分认识、理解商业银行风险,及其客观性和管理的必要性与持久性,养成风险管理的自觉性,使“风险管理人人有责”、“风险管理事在人为”以及“风险管理与人为善”的理念融入到员工头脑之中;二是要能够正确处理风险管理与业务发展的关系,牢固树立风险创造价值、风险管理与业务运行并重的理念,通过先进的技术与模式实现收益与风险相匹配;三是要形成一种风险防范的道德评价标准和职业环境,促使全体员工在风险管理中恪守职业道德;四是要认真汲取风险战略实践教训并改善风险管理方法,注重提高全体员工自身对风险的管理能力。
5.持续推出风险提示
揭示风险、前移风险管理是风险管理部的重要职责,各商业银行风险管理部门应加强对行业内外信息科技风险的关注,特别是同业发生的案件、风险事件等,应重点进行关注,及时通过多种方式发出风险提示,并组织自查工作,防范风险发生。
6.推动关键风险指标监测工作
要在风险和控制自我识别评估的基础上,提炼关键控制,形成关键风险指标,如关键系统运行中断次数、关键线路中断次数、系统事件平均处理时间、信息系统的完善性、系统对业务的支撑能力等,通过量化、指标化的方式监测、反映信息科技风险变动状况,并将监测指标与科技部领导绩效进行挂钩,从而促进信息
科技水平的提高,促进信息科技风险管理的完善。
(三)信息科技风险“第三道防线”建设实践
IT审计作为信息科技风险防范的“第三道防线”,要从独立、客观的角度出发,对信息科技整体风险控制进行评价,提出改进建议,以提高全行信息科技风险的防范水平,良好的实践包括:
1.IT审计要结合银行战略和业务目标出发
IT审计人员应根据本行的信息系统现状,结合银行的战略和业务目标,评估信息系统本身的脆弱性,从信息系统是否能保证银行战略、业务实现出发,关注信息系统基础设施建设情况,关注信息科技风险防范体系的建立,关注信息科技的内部控制措施,制订出符合本行特色的IT审计计划。其中按照监管要求,信息科技全面审计至少每3年安排一次,信息科技专项审计应视情况每年安排,并列入审计部年度工作计划。
2.IT审计要坚持以风险为导向
当前,随着商业银行信息科技的不断发展,信息科技在有效推动银行发展的同时,也存在着较大的风险隐患,但IT审计资源毕竟有限,很难全面关注到信息科技面临的所有风险,因此作为IT审计人员来说,应该始终坚持以风险为导向开展IT审计,依据风险控制的重要性确定审计重点,关注重点区域、重点业务、重要部门、重要岗位、重要操作环节,运用科学的审计方法,合理制定审计实施方案和审计计划,优化审计资源配置,在提高审计效率的同时,保证审计质量,促进信息科技健康有序发展。信息科技审计人员应采用以风险为
导向的审计方法进行信息科技审计,风险评估应贯穿审计的准备、实施、报告和后续工作各个阶段。坚持以风险为导向的审计方法,要求审计人员:
(1)积极关注外部信息科技风险事件,关注各个行信息科技发生的事故,如近年来发生的信息泄露事件、钓鱼网站、因为系统升级而导致的系统中断事件等等,通过对这些事件的分析,结合本行业务特点,从而确定审计的重点;
(2)积极关注监管动态,了解监管政策和监管重点,加强与监管的沟通与交流;
(3)积极关注本行信息科技状况,要对本行信息系统及其管理进行风险识别和评估,关注本行信息科技面临的主要风险,关注本行信息科技管理存在的不足,并在审计过程中予以重点关注。
3.IT审计要贯穿于信息系统生命周期的全过程
IT审计贯穿于信息系统生命周期的全过程,在其生命周期的各个阶段,包括系统规划和开发、系统交付、系统运行和维护、系统报废等,IT审计都要对系统本身、项目管理、风险控制等进行审计,并出具阶段性审计报告,及时提出改进和完善的建议,督促改进,从而保证信息系统建设朝着预期的目标前进,不至于出现偏差,以实现信息系统预订的目标,否则如果只是结果性的审计,过程一旦出错,后期是很难进行整改的,或者整改的代价也是非常高。
4.IT审计要以关注内部控制为基础
由于信息科技面广,专业性强,作为IT审计人员,我们不可能
精通每个方面,不可能比专业的IT人员更精通技术,因此IT审计来讲,我们应该侧重与内部控制的健全与否,管理是否规范,如人员的管理、制度规范的建设、操作管理、变更管理、问题管理等,而尽量少深入到技术的核心区域,通过对IT管理过程提出合理的意见和建议,提高IT的管控能力,从而减少IT的风险发生。
5.IT审计要从整体流程进行考虑
随着信息科技的快速发展,科技与业务的结合越来越紧密、科技内部的分工也越来越细,这就需要审计人员站在全局的角度,从整个流程进行考虑,关注各个部门之间、各个操作之间衔接的问题,关注IT全流程的管理是否到位。
6.通过逐步实施IT专项审计,完善审计体系建设
IT审计体系的建设不是一蹴而就,需要随着信息科技的发展、IT审计人员水平的提高逐步发展,而实施信息科技专项审计,无疑是最好的方式,可以达到以下几方面的提高:
(1)提高IT审计人员的专业水平;
(2)通过专项审计“专而精”的特点,以点带面,促进IT内部控制过程中某一高风险领域或者重要领域管理水平的提高;
(3)通过在不断总结工作经验的基础上,逐步完善审计工作方法,完善IT审计体系建设。
7.积极探索审计增值服务,实现审计职能转型
内审管理部门要与时俱进,不断创新,实现职能创新转型,从关注威胁(风险)(确认职能)与寻找机会(咨询职能)相结合,树立
“在服务中监督,在监督中服务”的观念,切实履行二线为一线服务的职能。
一是加强与信息科技的交流与沟通,促进相互之间的了解和熟悉,一方面,项目期间根据发现的问题,坚持与被审计对象进行充分沟通后给出具体整改意见,同时强化撤点会议等多项交流机制,做到从“为处罚而发现问题”到“为解决问题而发现问题”的审计思维方式转变,对发现的问题做到及时指导、纠正,对问题原因做到深入剖析,使审计对象充分认识到自身存在的问题,从根源上解决。另一方面,积极探索审计关口前移,从“事后纠弊”向“事前预防”转变,针对近年来审计发现的问题,典型案例进行培训。
二是积极配合信息科技、风险管理完成相关咨询、调研等工作,积极配合指导信息科技、风险管理开展相关自查工作。
三是定期将审计发现的问题进行汇总、提炼,出具相应的管理建议书。
8.适时引入外部专家的力量
由于信息科技审计的特殊要求,对审计人员自身能力要求较高,必要时,商业银行可以在符合法律、法规和监管要求下,委托具备相应资质的外部审计机构,协助商业银行实施信息科技专项审计或单独实施信息科技专项审计。在引入外部审计时,商业银行应重点考虑以下几方面的内容:
(1)在聘请外部审计时,本行有权审计部门将需要对外部审计的独立性进行评价,考虑以下影响独立性的因素:
外部审计与被审计单位之间是否存在重大利益关系;
外部审计与被审计单位管理层重要人员是否存在私人关系; 外部审计与审计事项之间是否存在专业关系;
外部审计提供者可能正在为银行提供的其他持续服务的范围;外部审计提供者可能拥有的赔偿机制或其他优惠条件。
(2)在实施外部审计前,应与外部审计机构进行充分的沟通,详细确定审计范围,并签订《业务约定书》和《审计实施方案》。
(3)在实施外部审计时,应与外部审计机构签订保密协议,督促其严格遵守法律法规,保守商业银行相关秘密,防止其擅自对本银行提供的任何文件进行修改、复制或带离现场。在条件允许的情况下,最好能为将需要的审计资料放入文档服务器,同时控制服务器只能读取、不能拷贝。
(4)在实施内容上,商业银行可按照《商业银行信息科技风险管理指引》要求,对信息科技治理和组织结构、信息科技风险管理、信息安全、信息系统开发测试和维护、信息科技运行与维护、灾难恢复及应急管理、外包业务管理七个方面进行全面审计,但最好每年将其中一、两项内容作为审计重点,按照做深做透为原则,深入开展审计项目,并逐年更换审计重点,逐步推进,而不是一次性将全部内容进行审计,以提高审计的质量和效果,同时也为被审计对象留有充分的整改时间。
(5)在实施方法上,商业银行应安排一位对信息科技审计能力较强的人担任项目经理,充分发挥项目经理的能动性,项目经理可根
据其对本行信息科技风险的了解,在现场审计时提出相关要求和建议,提醒外部审计人员对本行的重要区域、重点内容、重要风险隐患予以重点关注,同时项目经理也可以作为外部审计团队与被审计对象沟通的桥梁,促进审计项目更加高效的开展。
9.优化队伍建设
由于信息科技审计在我国还刚刚起步,信息科技审计人才比较欠缺,虽然近几年各商业银行逐步加强了信息科技审计人才的培养与引进,但经验和能力仍有所欠缺,各商业银行在优化审计队伍建设上可参考:
(1)积极引进信息科技审计专业人才
特别是具有信息科技从业经验或信息科技审计经验的人才,充实信息科技审计力量,建立审计人才队伍后备梯队。
(2)外邀信息科技审计领域专家,取其精华
通过外部邀请信息科技审计领域的专家对商业银行审计人员进行培训、交流,从中获取信息科技审计前沿知识和信息科技审计的优秀审计理念。
(3)派出学习,拓展视野
积极派出员工参与外部机构组织的一些行业交流会议、培训等,寻找与外部的差距,拓展信息科技审计视野。
(4)内部沟通交流,实践中不断成长
通过定期组织内部交流与培训,以老带新、项目锻炼等多种方式,增强其技术水平和综合能力,提升员工的知识面,强化了
工作技能。
(5)鼓励再教育和资质考试
鼓励审计人员从事审计的再教育学习,并鼓励考取相关资质证书,如CIA、CISA等相关资格考试,以提高审计人员的素质和能力。
(6)完善薪酬激励机制,营造吸引人才的环境
积极探索建立和完善符合市场规律的信息科技审计人才薪酬激励机制,加大分配制度的激励作用,保障并逐步提高信息科技审计人员待遇,进一步稳定信息科技审计人员队伍,营造吸引人才的环境,逐步培养创建一支高、精、尖的信息科技审计人才队伍。
九、信息科技风险“三道防线”之间的关系
信息科技“三道防线”各个部门由于相互之间所履行的职责不同,承担的责任不同,使各个部门都具有相应的独立性,但相互之间又存在着协调和监督的关系,这种相互独立,又相互协调、监督的关系,促进了各个部门的有效履职,促进了信息科技风险的有效防范。
(一)独立性
作为信息科技风险“三道防线”的信息科技管理部门、信息科技风险管理部门、信息科技风险审计部门,在银行里承担着不同的职责,具有相互之间的独立性。
(二)协作性
信息科技风险的有效防范,需要信息科技风险“三道防线”的信
息科技管理部门、信息科技风险管理部门、信息科技风险审计部门之间相互的协调与合作,需要相互之间的理解与信任,特别是信息科技管理部门,作为本单位信息科技建设,及信息科技风险各项控制措施的实施部门,承担的工作量较大,总是希望得到别人的认可,对于风险或审计提出这样或那样的问题,可能会产生较大的情绪,或抵制心理,将不利于信息科技建设质量的提高。
良好的实践表明,只有“三道防线”之间各个部门建立相互的协调与合作关系,才能使本单位的信息科技建设质量得到提高,信息科技风险才能得到有效防范。首先,信息科技管理部门应主动加强与风险、审计部门的沟通,定期报送相关材料,在信息科技建设的过程中主动邀请风险、审计部门参与,积极配合信息科技风险及审计部门的评估与检查工作,提高信息科技建设的质量;其次,风险管理部门应加强与信息科技部门的沟通,积极参与到信息科技建设过程的风险评估与监控,及时出具风险评估报告,持续推出风险提示;最后,信息科技风险审计部门,应积极加强信息科技建设的监督工作,对重要的项目,应尽可能做到过程监督,不定期出具管理建议书,促进信息科技管理的规范。
(三)监督性
信息科技风险“三道防线”作为内控组织体系,旨在通过发挥各部门的相互补充,相互监督的作用,促进信息科技风险的防范。首先作为第一道防线的信息科技管理部门,是内部控制与操作风险管理的第一责任人,应通过自我评估、自我检查、自我整改,对信息科技建
设过程中的风险进行自我识别、评估和控制,实现自我监督;其次作为第二道防线的信息科技风险管理部门,不是替代一道防线,而是对第一道防线实施检查、监督和指导,确保一道防线内部控制的有效性,同时为三道防线开展再检查、再监督和内部控制评价提供基础;最后,作为第三道防线的审计部门,是对整个信息科技风险管控过程进行监督,是信息科技风险内部控制体系的重要保障手段。信息科技风险“三道防线”的建立,是自组织形成一个前、中后台分离和制约的机制,以促进信息科技风险管理更加规范。
十、信息科技风险“三道防线”作用的发挥
信息科技“三道防线”各个部门由于相互之间所履行的职责不同,承担的责任不同,使各个部门都具有相应的独立性,但相互之间又存在着协调和监督的关系,“三道防线”作用的有效发挥,需要:
(一)建立完善的信息科技风险治理架构
明确信息科技风险管理的主要责任人,“两会一层”以及首席信息官的相关职责,设立一个由来自高级管理层、信息科技部门和主要业务部门的代表组成的专门信息科技管理委员会,负责监督各项职责的落实,定期向董事会和高级管理层汇报信息科技战略规划的执行、信息科技预算和实际支出、信息科技的整体状况,履行对信息科技战略规划、预算管理、重大项目建设、信息科技风险策略制定等重大事项的决策。明确商业银行法定代表人是本机构信息科技风险管理的第一责任人。
(二)明确“三道防线”的职责
商业银行应在建立良好的公司治理基础上,形成分工合理、职责明确、相互制衡、报告关系清晰的信息科技治理组织架构,制订和完善各类有效的信息科技风险管理制度,优化信息科技风险管理流程,提高制度约束力和执行力水平。
(三)建立“三道防线”的沟通与协调机制
良好的沟通与协调机制,是信息科技风险“三道防线”能有效发挥的良好基础,各商业银行可通过以下几种方式促进“三道防线”的有效沟通:
1.可通过建立定期召开风险联席会议的机制,就银行存在的风险问题共同探讨、总结,提出可行性建议,促进对风险问题的解决,提高风险的防范水平。
2.可定期通过联合开展相关信息科技风险排查项目,促进“三道防线”之间相互交流与学习。
3.用制度化明确相互之间的沟通机制,如重大项目建设过程中,项目例会的召开,必须由信息科技管理部门通知风险管理部门、信息科技审计部门参与,了解项目进展和项目开展过程中存在的风险和不足。
(四)建立信息科技风险披露机制
建立行之有效的信息科技风险的报告线路,制定信息科技风险月报、季报和年报等的披露规范,定期向相关领导、信息科技管理委员会提交信息科技风险评估报告,确保相关风险能够被识别、计量、监
测和控制,切实提升商业银行信息科技风险管理的履职能力。
十一、总结
总之,信息科技风险管理是科技工作永恒的主题,信息科技风险“三道防线”的建设是一个长期的、持续改进的过程,同时也是一个全方位的管理体系,不可能一蹴而就,信息科技风险也不可能只通过某些技术方案或某项管理措施解决,随着外部环境和内部环境的变化,新的信息科技风险会不断滋生、升级,信息科技风险防范的手段也应随之不断更新、改进。各商业银行在信息科技风险管理方面还有很长的要走,有很多的工作方法需要优化,只有构筑坚实的信息科技“三道防线”保障体系,推动信息科技风险管理工作迈上一个新台阶,才能切实保障信息系统安全、稳定、持续有效的运行,推动业务快速、稳健的发展,促进全行战略目标的实现。
【参考文献】
【1】《商业银行信息科技风险管理指引》,中国银行业监督委员会,2009年6月1日
【2】《商业银行业务连续性监管指引》,中国银行业监督委员会,2011年12月30日
【3】唐磊,商业银行IT服务外包的风险及管理措施,中国金融电脑,2009年11期
【4】李东卫,商业银行信息科技风险的分析与对策,中国金融电脑,2009年第6期
【5】赵相如,股份制商业银行信息科技应用及风险防范对策,河北金融,2007年2月28日
【6】陈雷蕾,国内商业银行信息科技风险管理研究,中国知识2010年11月30日
第41页 共41页陈小其 2014年5月28日星期三 联系电话:[1**********] QQ:53541891 网,