欢迎来到南海农商银行官方网站!本站支持IPv6!
当前位置: 首页 公司金融 政策法规

政策法规

浅谈农合机构信息科技风险管理的问题及建议

发布时间:2016-11-23 信息来源:余志超
  

      摘要:信息技术和网络技术的发展,改变了银行机构的业务流程和管理方式,同时也给银行带来了技术方面和管理方面的风险———信息科技风险。本文先介绍了银行信息科技风险的含义及特征,然后对农合机构在信息科技风险管理中普遍存在的问题作了分析,最后针对各项问题提出了风险防控提升建议。
      关键词:银行 信息科技风险 管理  


      一、引言
      现代金融行业在信息技术的推动下已经发生了飞跃式变化,对信息技术的依赖性也不断提高,从业务电子化到管理信息化,从数据大集中到云计算系统,信息技术已经渗透到银行的各个方面,成为现代银行稳健经营的坚实基础,极大地提高了银行的经营效率;信息技术与银行业务的融合在促进业务发展的同时,也带来了风险隐患,若不对信息科技风险进行有效管理,则可能引发系统风险,甚至会危及整个金融经济体系。有鉴及此,我国银监会在2016年9月30日发布的纲领性文件《银行业金融机构全面风险管理指引》中首次把信息科技风险作为主要风险单独列出。因此,对银行信息科技风险管理进行研究,具有重要意义。

      二、银行信息科技风险概述
      (一)信息科技风险定义 
银行信息科技风险是指银行在使用计算机、网络等技术进行产品、服务或信息传输时,所产生或引发的不确定性因素。我国银监会出台的《商业银行信息科技风险管理指引》对此做了如下界定:信息科技在银行运行过程中,由于自然因素、人为因素、技术漏洞以及管理缺陷产生的操作、法律或声誉等风险。由此可见,信息科技风险一旦发生不仅影响到银行内部程序和流程,还会引发其他风险,形成连锁反应。
      (二)银行信息科技风险特征
银行信息科技风险具有技术含量高、隐蔽性强、快速蔓延和覆盖面广的特点。与传统风险相比,信息科技涉及计算机技术、网络通信技术和安全技术,因此其技术含量较高。信息科技风险多数是由于自然灾害或不可抗力造成技术设备遭破坏,从而导致业务连续性风险。信息技术的任何一个环节出现故障,都会迅速蔓延,加剧风险的严重性。

      三、信息科技风险管理主要工作
信息科技风险管理主要工作包括信息科技风险识别、分析与评估、监测、控制、报告等五个环节:
      (一)信息科技风险识别:信息科技风险识别是指对银行具有脆弱性、可能受到威胁侵害、需要保护的信息资源、资产等价值目标进行识别和分类,并对相关的威胁发生的可能性及可能造成的损失进行确认的过程。
      (二)风险分析与评估:信息科技风险分析与评估是指对风险发生的可能性及其发生以后所造成的影响进行综合度量。信息科技风险评估单位应通过定性或定量的评估方法,判断风险的发生可能性和危害程度,确定风险的等级。
      (三)风险监测:信息科技风险监测是对信息科技风险进行定期或持续的检查,及时发现新出现的信息科技风险以及风险管理措施存在的问题,并采取相应的补救措施,以保证信息科技风险在不断变化的内外部环境中,始终处于银行的风险容忍水平之下。
      (四)风险控制:信息科技风险控制是指风险责任单位根据银行的风险偏好及风险评估的结果确定风险的可接受水平,并针对性地制定相应的风险管理措施。通过建立事前预防、事中监控及事后复核的风险管控手段降低风险发生的可能性及其造成的影响,并根据银行的信息科技风险容忍程度采取规避、降低、转移风险等方式,将风险控制在银行可接受的水平之内。
      (五)风险报告:信息科技风险报告是依据特定的格式和程序对信息科技风险状况进行描述、分析和评价形成信息科技风险报告,并按照规定的报告路线进行汇报。报告的内容应完整、客观、清晰。


      四、农合机构信息科技风险管理现状以及存在的问题
      农合机构在信息科技风险管理方面普遍起步较晚,信息科技风险“三道防线”的体系建设工作处于初创期,信息科技风险管理相关部门以及各专业委员会下属小组之间的工作边界尚未清晰,信息科技风险评估和监测工作协同机制还处于磨合期,对比监管的要求有一定差距,具体表现如下:
      (一)信息科技治理架构不健全
目前农合机构治理架构的自我完善机制还不健全,无法快速适应经济形势和技术发展的变化。虽然部分农合机构根据监管要求初步建立了信息科技风险“三道防线”的管理体系,但二道防线工作大多处于初创期,一道防线和二道防线的界线不够清晰,职责分工不明确,重叠和缺位的现象同时存在。
      (二)信息科技风险管理制度建设不尽完善
多数农合机构尚未制定专门的信息科技风险管理制度,信息科技风险管理和控制措施多分散于其他制度中,且制度缺乏专人维护导致更新不及时,信息科技风险管理政策的全面性、实时性和准确性有待提高。
      (三)信息科技风险管控措施不到位
      1、信息科技风险识别和评估方面
多数农合机构虽然在制度上对信息科技风险管理识别和评估有所提及,但未建立完善的信息科技风险识别和评估的机制,包括信息科技风险的识别、评估和处置的具体实施流程不完备,信息科技风险的识别和评估标准不够规范,定期评估新技术发展可能造成的影响和已使用软件面临的新威胁的评估流程尚有欠缺。因此要通过科学系统的风险识别和评估得出真正的信息科技风险状况和管理水平有一定难度,信息科技风险隐患有被忽视的可能。
      2、业务连续性管理方面
未制定机构层面的总体应急预案和总体业务连续性计划,业务单位只负责制定本部门相关业务的专业应急预案,缺乏在机构层面对整体业务应急处理以及业务运营所需关键资源的统筹协调;应急演练工作大多由信息科技部门围绕信息系统展开,业务部门针对重要业务中断的应急演练不足;对信息科技基础设施的投入不足导致部分关键设备存在超期服役和单点的风险,可能因设备老化造成不可遇见的硬件故障,导致业务异常或者中断。
      3、信息科技外包管理方面
现在农合机构在信息科技外包管理方面的管控力度较弱,在签署合同前大多对重要的服务商开展专门的供应商尽职调查不充分,因此形成的调查报告不尽完善;根据自身战略发展需要而制定不同类型和等级外包供应商的准入资质标准欠缺指导性;依据相关标准开展供应商的筛选和建立外包供应商库的可操作性不强;针对外包服务商的水平考核流于形式,相关信息多数由外包商自行提交,可能存在并未核对信息的真实性和准确性的漏洞,外包商的综合服务能力无法保证。


      五、提升信息科技风险管理水平的措施
      (一)提升信息科技治理机制有效性,促进科技治理与风险管理相互融合
农合机构需充分认识到信息科技在总行战略和科学决策中的重要性,可通过启动信息科技风险管理体系建设咨询项目来提升信息科技治理机制的有效性,继续理顺管理层、信息科技相关专业委员会、业务部门、信息科技部门之间的权责关系,促进相关专业委员会切实发挥作用,推动业务部门与信息科技部门建立密切协同、良性互动的合作伙伴关系持续优化信息科技治理体系。
      (二)优化信息科技风险管理体系,建立协同高效的管理机制
梳理并落实“三道防线”的职责界限和协同机制。信息科技部、电子银行部等风险责任单位作为信息科技风险管理的一线部门必须承担起风险管理的直接责任;充分发挥风险管理部作为二道防线的承上启下作用,做好对一道防线的监督和指导工作;内审部门作为信息科技风险管理的第三道防线严格审查一、二道防线的工作履职情况。通过建立起“一道防线实施,二道防线管理,三道防线审计”的协同机制,夯实信息科技风险管理基础,优化信息科技风险管理体系,牢固树立安全意识,持续增强能力建设,全面提升信息科技竞争力。
      (三)加强信息科技风险管理制度建设,提高信息科技风险管理制度执行力
制定包括信息分级与保护、信息系统开发和测试、信息科技运行和维护、业务连续性管理以及信息科技外包风险管理在内全面的信息科技风险管理策略,建立信息科技风险管理制度更新和维护机制,紧跟银行业监管标准、内部系统建设和组织管理架构的变化,保证信息科技风险管理制度的全面性、实时性和准确性。此外在加强信息科技风险管理制度建设的同时还必须通过加强员工制度培训、严格落实规章制度、严肃追究违规行为责任等措施切实提高信息科技风险管理制度的执行力。
      (四)加强风险识别与评估能力建设,开展持续风险监测和应对工作
科学开展信息科技风险识别与评估工作,建立与资产、外部威胁、系统脆弱性相关的、动态调整的风险识别清单,构建支撑风险评估工作的工作流程和机制,并开展持续的风险监测和应对工作。完善信息科技风险关键指标体系,明确关键风险指标阈值,实施动态监测,构建运维、安全、风险“三位一体”的协同运作体系,提升信息科技风险管理的有效性和精细化程度。
      (五)优化业务连续性管理体系,增强业务持续运营管理能力
制定机构层面的总体应急预案和总体业务连续性计划,开展业务影响分析(BIA)和业务连续性风险评估工作。重要业务部门制定所属业务条线的业务连续性应急预案并定期进行重要业务中断的应急演练。信息科技部门对信息系统进行统一梳理,识别出承载重要业务的信息系统,确定信息系统恢复时间目标(信息系统RTO)、信息系统恢复点目标(信息系统RPO),明确信息系统重要程度和恢复优先级别,并识别信息系统恢复所需的必要资源。
      (六)健全完善信息科技外包管理机制,推进信息科技开放协作
建立对外包供应商尽职调查机制,在签署合同之前通过网络信息收集,同行实践反馈,公司实地调查等多渠道全方位了解外包供应商的资金实力、技术力量、行业经验、市场占有率,服务集中度风险等综合信息以便客观评价外包供应商的综合服务能力。此外农合机构应利用省联社省级平台开放共享的优势,积极与省联社沟通共同制定不同类型和等级外包供应商的准入资质标准,开展对外包供应商的筛选工作,建立外包供应商资源库,通过省联社统筹、各地农合机构信息共享的方式尽量降低由于对外包供应商信息了解的不对称性所造成的潜在损失。


      参考文献
      [1]张:《关于城商行信息科技风险管理的思考》,载《银行家》,2011。
      [2]张倩,张云志,祁妙:《关于商业银行信息科技风险的调查与思考》,载《中国信用卡》,2011。
      [3]王全刚:《新形势下加强银行IT风险防控的思考与建议》,载《农村金融研究》,2015。
      [4]张四洋:《新形势下关于农村商业银行科技风险防范的思考》,载《现代经济信息》,2016。