信息科技风险管理提升方案(上）

        银行业信息科技系统的安全、稳健运行，关系银行业自身可持续发展，关系金融安全。随着信息科技与银行业务的深度融合，银行业务对信息系统的依赖性日益增强，防范信息科技风险的重要性日益凸显。针对日益增长的信息科技风险，基于银保监会2009年至2012年发布的《商业银行信息科技风险管理指引》、《数据中心监管指引》、《业务连续性管理指引》、《信息科技外包风险监管指引》等要求，结银行现有管理现状与管理体系，制定有效的提升方案势在必行。 

 1.内外部形势分析

       1.1 科技金融发展

       随着移动互联、大数据处理、云计算、人工智能第一系列前沿技术与业务的深度融合,银行业在科技应用领域上也已经进入到科技金融阶段。近年来，银行在科技金融方面全面发力，已将科技金融提升至战略规划层面，围绕“打造科技金融的银行”战略定位，技术+数据双轮驱动，通过场景发力、数据赋能、创新布局，实现科技金融战略转型。为适应科技金融市场变化，今年更在业务部门组织架上进行了优化，成立了生态银行部，深入推进全行数字化金融战略，促进战略性、跨板块重大数字化生态金融项目的孵化与突破，同时重组网络金融部职能，统筹管理全行线上渠道、平台和全行支付业务，打造全行数字化金融转型的支撑平台，向线上化数字化转型再一次迈上坚定的一步。

        互联网科技与金融的高度融合，使科技金融这种轻资产重服务的网络模式慢慢渗透到金融模型、业务类型中，逐渐对传统金融业务产生了示范效应，并推动银行业务与服务产生变革。科技金融的兴起给银行带来了巨大创新与变革，同时，与传统科技应用相比，科技金融发展也给银行带来更多的潜在风险。

        一是科技金融与传统金融业务的交叉性、综合性、替代性容易引发系统性风险，科技金融对信息系统的依赖性、可篡改性、受攻击性，容易引发技术风险。

        二是科技金融政策的模糊、法律的缺失、监管的滞后。

        三是网络虚拟环境信息不对称、交易过程透明度低、信息安全无法得到保障。

        科技金融的发展会使银行在原有声誉风险、系统性风险等宏观风险的同时，更容易引发道德风险、技术风险、信用风险、法律风险、操作风险、市场风险、流动性风险等微观风险，同时，由于几乎所有的业务运营和管理活动都高度依赖科技系统，使得科技风险的隐蔽性、突发性、传染性和损害性更加强烈。

         1.2. 监管要求加剧

        一是针对信息科技风险，银保监会持续重视，并成立专门部门专职于信息科技风险监管工作。2012年,原银监会设立信息科技监管部专门部门对银行业信息科技风险加强监管，体现了在银行业务快速发展与信息科技高度融合的新形势下，不断加强银行业专业化监管能力建设的决心。信息科技监管部将进一步强化银行业信息科技风险监管工作，加强信息科技风险的监测和预警，深入开展信息科技现场检查，做到风险早发现、早报告、早处置，进一步提升信息科技风险监管的及时性、前瞻性。 2018年4月，银监会和保监会合并为银保监会，成立统信部承担信息化建设和信息安全以及银行业和保险业机构的信息科技风险监管工作。

                

领域	名称	文号	印发机构
风险管理	商业银行信息科技风险管理指引	银监发(2009)19号	银保监会
信息科技治理	金融科技（Fintech）发展规划（2019-2021年）	银发〔2019〕209号	中国人民银行
	银行业金融机构数据治理指引	银保监发〔2018〕22号	银保监会
信息安全	信息安全等级保护管理办法	公通字〔2007〕43号	公安部
	金融行业信息系统信息安全等级保护实施指引	JR/T 0071-2012	中国人民银行
	中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知	银发〔2012〕80号	中国人民银行
生产运行	商业银行数据中心监管指引	银监办发〔2010〕114号
	银行业金融机构重要信息系统投产及变更管理办法	银监办发〔2009〕437号	银保监会
	中华人民共和国网络安全法	中华人民共和国主席令 第五十三号	全国人大
信息科技外包	银行业金融机构信息科技外包风险监管指引	银监发〔2011〕104号	银保监会
	中国银监会办公厅关于开展银行业金融机构信息科技非驻场集中式外包监管评估工作的通知		银保监会
	中国银监会办公厅关于加强银行业金融机构信息科技非驻场集中式外包风险管理的通知		银保监会
业务连续性	银行业重要信息系统突发事件应急管理规范试行）	银监发〔2008〕53号	银保监会

       三是监管机构开展各类现场检查工作。最重要的有一年一度的国家级护网行动和信息科技监管评级。

       护网行动，是由公安部牵头组织，各事业单位、国企单位、名企单位参与开展的攻防两方的网络安全演习。进攻方一个月内采取不限方式对防守方展开进攻，不管任何手段只要攻破防守方的网络并且留下标记就算成功。特别是银行，面临非常大的挑战，一方面涉及到巨额的经济资产，另一方面银行的业务线很广，所属IT资产无法在护网前期无法做到百分百收敛，经常成为护网行动的攻击热点。

        信息科技监管评级，是银行监管评级体系中的一项重要环节。银保监会组建了专业的信息科技监管专业队伍，现场检查各家银行在信息科技风险管理有效性。深入现场，每年开展风险评估、监测、评级和现场检查工作，评级后银保监会将面向银行形成监管通报，通报问题涉及科技治理、风险管理、生产运行、信息安全、开发测试、科技外包、业务连续性、数据治理等各个领域，问题数量较多。 

        四是持续开展信息科技非现场监管，并通过通知或风险提示发送各种管理提示。

2.存在问题分析

    2.1 职责分工不清晰

       现行办法中参照监管指引，映射到银行组织架构，基本明确了各级管理者或管理机构的岗位职责，但是存在某些具体职责，仅明确了统筹管理要求，但并非明确具体的工作机制，特别是如一项工作，如涉及到的统筹、组织与执行多个环节，责任归属就比较混乱了，导致具体工作无法开展或执行不彻底。如董事会职责中“规范职业道德行为和廉洁标准，增强内部文化建设，提高全体人员对信息科技风险管理重要性的认识”、“确保银行所有员工充分理解和遵守经其批准的信息科技风险管理制度和流程，并安排相关培训”，相关要求的具体执行职责岗位并未明确。

        2.2 风险导向仍显不足

        信息科技管理框架的风险导向仍显不足。虽已内部初步建立了规范化的信息科技开发和运维体系以规避风险，但是不能基于以风险为导向的理念开展信息科技风险管理工作，多是应对监管，缺乏明确的风险偏好与风险容忍度，尚未建立体系化的涵盖风险识别、计量、监测和控制的风险管理框架。

      2.3 管理机制仍不完善

       理机制仍不完善。即使已经建立起信息科技风险管理的专门组织机构，但信息科技风险管理制度和流程的完整性不足，系统化支持不到位，缺乏清晰的人员岗位角色、存在信息科技风险汇报路线与决策机制不明确，专业从事信息科技风险管理的人员不足等问题。

    2.4 风险管理未独立

    信息科技风险是作为操作风险的一部分来进行管理的，未实质独立管理，管理思路与管理方法受到限制，信息科技风险管理的全面性不足。

       操作风险管理方法通常是从银行的业务运营和管理角度梳理与流程、人员和系统相关的风险，在具体执行中通常是将银行按照八大业务条线进行分解，分析各个业务在每一个流程环节上面临的操作风险以及现有的风险管理措施，并找出存在风险管的缺陷和不足的领域，进而确定应该采取的管理措施及其先后顺序。

       信息科技风险管理同样关注业务流程中的信息科技风险，也会在业务流程梳理的过程识别与信息科技相关的风险点和控制点，评估风险的级别以及控制的有效性。但是，信息科技风险的特殊性在于除了以上流程中风险外，信息科技治理层面以及具体信息技术层面的风险也是其重要风险因素，涵盖了信息科技治理架构、信息安全、系统开发和测试、系统运行维护等具体的信息技术领域。这些信息科技管理领域中存在的信息科技风险区别于业务流程层面的信息科技风险，对于这部分信息科技风险，很难适用一般操作风险的方法进行管理，而在业界实务中，是通过一套相对独立的信息科技风险管理方法论来管理的。

    2.5 风险认识尚不到位

       对信息科技风险认识尚不到位。仍然存在重信息科技建设，轻信息科技风险管理；重信息系统开发，轻信息系统运行；重眼前业务发展，轻长期科技发展规划等问题，缺乏对信息科技风险的持续关注和统筹安排。

  2.6 缺乏有效管理工具

        缺乏有效的信息科技风险管理工具。现有的信息科技风险管理办法要求加强对信息科技风险的控制和应对，但其往往侧重于管理要要求，在实操中未探索科学化、体系化的信息科技风险识别、监测和处置方法，没有建立有效的方法论或工具，使风控监测与控制不能有效持续开展，不能及时全面的防范信息科技风险的产生。

2.7 风险计量方法缺失

       信息科技风险计量是无法直接用操作风险资本计量方法进行计量的。

       一是信息科技风险与总收入、业务交易量、交易金额、客户数等指标的关联并不密切。二是大部分信息科技风险的损失不是显性的，除少数信息科技风险事件引发客户索赔、交易延误罚息之外，大部分损失表现为对外业务经营中断，尽管不直接造成银行财务损失，但导致银行声誉受损、股价下跌、客户流失等方面的间接损失不可估量。如果按照操作风险损失的标准来定义风险损失，将远远低估信息科技风险给银行带来的影响。如何把间接损失量化是信息科技风险计量的最大难点，风险资本计量是基于金额进行的，将各类风险量化为金额数据是计量的基础，如果风险的影响程度不能金额化，计量的结果势必不会准确。

3. 管理提升方案建议

      3.1 提升目标

1.  结合操作风险管理理念与方法并提升，借鉴同业先进经验，系统性评价银行信息科技风险管理现状，提出适合科技金融新形势下的信息科技风险管理方案。
2. 建立风险导向的信息科技风险管理框架，完善信息科技治理架构，优化信息科技风险管理风险与合规框架。
3. 明确三道防线工作岗位职责，加强信息科技风险管理的“三道防线”建设，实现分工负责、多级监督、信息共享、协同开展的信息科技风险管控工作机制。
4. 建立成熟可行的科技风险评估流程、方法与工具，持续开展全面信息科技风险评估与专项信息科技风险评估。
5. 建立持续监测机制，借助新型技术设计风险识别、计量、监测和控制的高效平台，实现对科技风险实时与前瞻性管控。 
6. 建立持续控制机制。在信息科技风险管理、信息安全、信息系统开发、测试和维护、信息科技运行、业务连续性管理、外包与审计等领域完善各类风险控制措施，有效满足监管要求，并促进内部管理。
7. 通过考核引导、检查督导、培训辅导、宣传倡导，不断增强风险意识，塑造合规审慎的信息科技风险文化。

  3.1 具体提升举措

   （欢迎阅读，未完待续。。。。）